ISO27001認證辦理有什么用，認證的流程

一、ISO27001介紹

ISO27001是有關信息安全管理的國際標準。初源于英國標準BS7799.經過十年的不斷改

版，終于在2005年被國際標準化組織(ISO)轉化為正式的國際標準，于2005年10月15日發

布為ISO/IEC 27001:2005.該標準可用于組織的信息安全管理體系的建立和實施，保障組

織的信息安全，采用PDCA過程方法，基于風險評估的風險管理理念，全面系統

二、企業為什么要申請ISO27001認證，它對企業有什么好處?

1、建立信息安全管理體系，能切實提高組織的信息安全管理水平，提高全員信息安全意

識， 降低信息安全風險，保證信息的保密性、完整性和可用性。

2、增強投資者及其他利益相關方的投資信心;

3、向政*及行業主管部門證明組織對相關法律法規的符合性;

4、向客戶表明組織對信息安全的承諾;

5、維護企業的品牌名譽和客戶信任;

6、作為系統集成企業，可以滿足招標方需要，也可以用來控標。

三、如何進行ISO27001認證?

1、項目前期準備階段

① 理解管理層意圖，滲透管理思路;

② 將實施ISO27001項目的決定、目的、意義、要求在組織內傳達，這也是體現內部溝通，

提高全體員工意識的必要手段;

③ 組織建設，包括任命管理者代表、成立貫標組織機構、各級信息安全管理人員，明確其

職責。

2、現場調研診斷

目的：了解組織的現狀，尋找與ISO27001標準的差距

內容：實施調研診斷

3、人員培訓

目的：提升各級領導和全員的信息安全意識，使內審員具備相應能力

內容：動員會、ISO27001標準培訓、信息安全管理體系文件編寫培訓、培訓是落實要求的重

要手段

4、整合體系文件架設計

目的：策劃覆蓋各個業務流程的系統的文件化程序。

內容：根據現場診斷的結果，梳理所有管理活動流程，根據ISO27001標準要求形成信息安全

管理體系文件清單，

5、確定信息安全方針和目標

目的：明確信息安全方針和目標，為信息安全管理體系提供導向。

內容：根據業務要求及組織實際情況，制定安全方針和目標，

6、建立管理組織機構

目的：建立完善的內控組織架構，為整合體系提供支持。

內容：良好的組織架構是確保各項管理活動落實的根本.

7、信息安全風險評估

目的：實施風險評估，識別不可接受風險，明確管理目標;

內容：風險評估是整個風險管理的基礎，本階段將根據前期策劃的風險評估方法

8、ISMS體系文件編寫

目的：建立文件化的信息安全管理體系。

內容：根據文件體系策劃的結果，編寫信息安全管理體系文件，

9、ISMS管理體系記錄的設計

目的：設計科學的信息安全管理體系記錄，保證各管理流程的可控性和可追溯性。

內容：根據各個管理流程和文件對管理過程的記錄要求，設計記錄表格格式

10、ISMS管理體系文件審核

目的：確保ISMS信息安全管理體系文件的系統性、有效性和效率。

內容：對信息安全管理體系文件進行評審

11、ISMS體系文件發布實施

目的：發布ISMS信息安全管理體系文件，落實管理要求。

內容：由高管理者組織發布管理文件，并提出管理要求

12、組織全員進行文件學習

目的：確保信息安全管理體系文件要求在各個層級、各個崗位均得到有效的溝通和理解。

內容：培訓是提升信息安全意識，明確信息安全要求的有效途徑，組織全員參與到體系的運

行維護中，發揮每一個員工的重要作用

13、業務連續性管理

目的：確保在任何情況下，核心業務均可保持提供連續提供服務的能力。

內容：根據標準要求，對重大的災難性事件發生時所引發的業務中斷進行應急響應和災難恢

復的設計

14、審核培訓及內審

目的：實施內部審核，發現信息安全管理體系運行中的不符合，尋找改進的機會。

內容：根據項目計劃實施內部審核

15、管理體系有效性測量

目的：根據量化指標，測量信息安全管理體系的有效性。

內容：制定測量的方法論，根據 ISO27004 指南的內容，進行信息安全管理體系有效性測量。

16、管理評審

目的：將體系運行過程中的成效和問題向管理層匯報，由高管理者提出改進的要求和資源

的支持。

內容：根據管理評審流程的要求實施管理評審，

17、認證機構正式審核

目的：由第三方機構審核信息安全管理體系的有效性。

內容：由認證機構對建立的信息安全管理體系進行進一步的審核驗證，發現改進機會