第一，項(xiàng)目前期準(zhǔn)備階段。
目的:充分體現(xiàn)領(lǐng)導(dǎo)作用和全體員工參與的原則，確保各級(jí)意識(shí)到信息安全管理體系的必要性和管理決心。

內(nèi)容:啟動(dòng)項(xiàng)目所需的組織準(zhǔn)備。

包括:
(1)了解管理意圖，滲透管理理念；

(2)在組織內(nèi)傳達(dá)實(shí)施ISO27001項(xiàng)目的決策、目的、意義和要求，體現(xiàn)內(nèi)部溝通、提高全體員工意識(shí)的必要手段；

③組織建設(shè)，包括任命管理人員代表設(shè)立標(biāo)準(zhǔn)化組織、各級(jí)信息安全管理者，明確其職責(zé)。

第二，現(xiàn)場(chǎng)調(diào)查診斷。

目的:了解組織現(xiàn)狀，尋找與ISO27001標(biāo)準(zhǔn)的差距。

內(nèi)容:實(shí)施調(diào)查診斷。

 

包括:
(1)根據(jù)貴公司主要業(yè)務(wù)流程產(chǎn)生的信息流及其依賴的計(jì)算環(huán)境(包括硬件、軟件、數(shù)據(jù)、人力、服務(wù)等)確定安全要求；

②全面了解企業(yè)現(xiàn)行業(yè)務(wù)流程，按標(biāo)準(zhǔn)評(píng)估企業(yè)信息安全管理體系；

③識(shí)別各業(yè)務(wù)流程的管理流程和責(zé)任；

④根據(jù)標(biāo)準(zhǔn)要求，尋找改進(jìn)的機(jī)會(huì)；

⑤根據(jù)ISO27001標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估方法論和國(guó)家標(biāo)準(zhǔn)，制定科學(xué)、有效、適用的風(fēng)險(xiǎn)評(píng)估方法。

 

第三，人員培訓(xùn)。
目的:提高各級(jí)領(lǐng)導(dǎo)和全體員工的信息安全意識(shí)，使內(nèi)審員具備相應(yīng)的能力。

內(nèi)容:動(dòng)員會(huì)、ISO27001標(biāo)準(zhǔn)培訓(xùn)、信息安全管理系統(tǒng)文件編制培訓(xùn)、培訓(xùn)是實(shí)施要求的重要手段。

 

包括:
動(dòng)員會(huì):提高所有員工的信息安全意識(shí)，包括:
信息安全是什么？ISO27001信息安全管理系統(tǒng)是什么？為什么實(shí)施ISO27001？ISO27001信息安全管理系統(tǒng)對(duì)企業(yè)有什么意義？整個(gè)工作流程和進(jìn)度是如何安排的？誰(shuí)需要培訓(xùn)這項(xiàng)工作？

ISO27001標(biāo)準(zhǔn)培訓(xùn):主要講解ISO27001信息安全管理系統(tǒng)標(biāo)準(zhǔn)的理解和應(yīng)用。

管理層培訓(xùn)擴(kuò)展到中層領(lǐng)導(dǎo)，最后與高層領(lǐng)導(dǎo)一起培訓(xùn)，高層領(lǐng)導(dǎo)的參與是榜樣的力量，有助于提高全體員工的信息安全意識(shí)

 

第四，整合系統(tǒng)文件架設(shè)計(jì)。

目的:規(guī)劃覆蓋各種業(yè)務(wù)流程的系統(tǒng)文件程序。

內(nèi)容:根據(jù)現(xiàn)場(chǎng)診斷結(jié)果，整理所有管理活動(dòng)流程，根據(jù)ISO27001標(biāo)準(zhǔn)形成信息安全管理系統(tǒng)文件清單

 

包括:
(1)根據(jù)識(shí)別的業(yè)務(wù)流程，形成管理活動(dòng)流程圖；優(yōu)化或重建業(yè)務(wù)流程，確保管理活動(dòng)系統(tǒng)順暢；

②根據(jù)流程圖和流程復(fù)雜性，規(guī)劃符合標(biāo)準(zhǔn)要求和實(shí)際業(yè)務(wù)要求的信息安全管理系統(tǒng)文件清單

③形成信息安全管理系統(tǒng)的文件描述，包括文件的目的、控制范圍、職責(zé)、管理活動(dòng)界面、管理流程等。；與業(yè)務(wù)流程負(fù)責(zé)人溝通修改文件清單。

 

第五，確定信息安全方針和目標(biāo)。

目的:明確信息安全政策和目標(biāo)，為信息安全管理系統(tǒng)提供指導(dǎo)。

內(nèi)容:根據(jù)業(yè)務(wù)要求和組織實(shí)際情況，制定安全政策和目標(biāo)。

包括:
(1)與最高管理人員溝通，了解管理意圖和要求，確定信息安全管理政策；

②根據(jù)政策要求制定目標(biāo)，分解到各種管理活動(dòng)中，形成可測(cè)量的指標(biāo)體系，保證政策和目標(biāo)的實(shí)現(xiàn)；

第六，建立管理組織機(jī)構(gòu)。

目的:建立完善的內(nèi)部控制組織結(jié)構(gòu)，為整合體系提供支持。

內(nèi)容:良好的組織結(jié)構(gòu)是確保各項(xiàng)管理活動(dòng)實(shí)施的基礎(chǔ)。

 

 

包括:

①成立整合體系管理委員會(huì)，決定重大信息安全事項(xiàng)；

②成立管理協(xié)調(diào)小組，就日常管理活動(dòng)中的信息安全問(wèn)題進(jìn)行溝通和改進(jìn)；

③明確管理活動(dòng)中各流程負(fù)責(zé)人的責(zé)任，文件化。