第一，項目前期準備階段。
目的:充分體現(xiàn)領導作用和全體員工參與的原則，確保各級意識到信息安全管理體系的必要性和管理決心。

內(nèi)容:啟動項目所需的組織準備。

包括:
(1)了解管理意圖，滲透管理理念；

(2)在組織內(nèi)傳達實施ISO27001項目的決策、目的、意義和要求，體現(xiàn)內(nèi)部溝通、提高全體員工意識的必要手段；

③組織建設，包括任命管理人員代表設立標準化組織、各級信息安全管理者，明確其職責。

第二，現(xiàn)場調查診斷。

目的:了解組織現(xiàn)狀，尋找與ISO27001標準的差距。

內(nèi)容:實施調查診斷。

 

包括:
(1)根據(jù)貴公司主要業(yè)務流程產(chǎn)生的信息流及其依賴的計算環(huán)境(包括硬件、軟件、數(shù)據(jù)、人力、服務等)確定安全要求；

②全面了解企業(yè)現(xiàn)行業(yè)務流程，按標準評估企業(yè)信息安全管理體系；

③識別各業(yè)務流程的管理流程和責任；

④根據(jù)標準要求，尋找改進的機會；

⑤根據(jù)ISO27001標準的風險評估方法論和國家標準，制定科學、有效、適用的風險評估方法。

 

第三，人員培訓。
目的:提高各級領導和全體員工的信息安全意識，使內(nèi)審員具備相應的能力。

內(nèi)容:動員會、ISO27001標準培訓、信息安全管理系統(tǒng)文件編制培訓、培訓是實施要求的重要手段。

 

包括:
動員會:提高所有員工的信息安全意識，包括:
信息安全是什么？ISO27001信息安全管理系統(tǒng)是什么？為什么實施ISO27001？ISO27001信息安全管理系統(tǒng)對企業(yè)有什么意義？整個工作流程和進度是如何安排的？誰需要培訓這項工作？

ISO27001標準培訓:主要講解ISO27001信息安全管理系統(tǒng)標準的理解和應用。

管理層培訓擴展到中層領導，最后與高層領導一起培訓，高層領導的參與是榜樣的力量，有助于提高全體員工的信息安全意識

 

第四，整合系統(tǒng)文件架設計。

目的:規(guī)劃覆蓋各種業(yè)務流程的系統(tǒng)文件程序。

內(nèi)容:根據(jù)現(xiàn)場診斷結果，整理所有管理活動流程，根據(jù)ISO27001標準形成信息安全管理系統(tǒng)文件清單

 

包括:
(1)根據(jù)識別的業(yè)務流程，形成管理活動流程圖；優(yōu)化或重建業(yè)務流程，確保管理活動系統(tǒng)順暢；

②根據(jù)流程圖和流程復雜性，規(guī)劃符合標準要求和實際業(yè)務要求的信息安全管理系統(tǒng)文件清單

③形成信息安全管理系統(tǒng)的文件描述，包括文件的目的、控制范圍、職責、管理活動界面、管理流程等。；與業(yè)務流程負責人溝通修改文件清單。

 

第五，確定信息安全方針和目標。

目的:明確信息安全政策和目標，為信息安全管理系統(tǒng)提供指導。

內(nèi)容:根據(jù)業(yè)務要求和組織實際情況，制定安全政策和目標。

包括:
(1)與最高管理人員溝通，了解管理意圖和要求，確定信息安全管理政策；

②根據(jù)政策要求制定目標，分解到各種管理活動中，形成可測量的指標體系，保證政策和目標的實現(xiàn)；

第六，建立管理組織機構。

目的:建立完善的內(nèi)部控制組織結構，為整合體系提供支持。

內(nèi)容:良好的組織結構是確保各項管理活動實施的基礎。

 

 

包括:

①成立整合體系管理委員會，決定重大信息安全事項；

②成立管理協(xié)調小組，就日常管理活動中的信息安全問題進行溝通和改進；

③明確管理活動中各流程負責人的責任，文件化。