如何建立ISMS和实施ISO27001的实施流程？

一、项目前期准备阶段

目的：充分体现领导作用和全员参与的原则，确保各个层面意识到信息安全管理体系的必要性和管理层的决心
内容：启动该项目所必需的组织准备
包括：
① 理解管理层意图，渗透管理思路；
② 将实施ISO27001项目的决定、目的、意义、要求在组织内传达，这也是体现内部沟通，提高全体员工意识的必要手段；
③ 组织建设，包括任命管理者代表、成立贯标组织机构、各级信息安全管理人员，明确其职责。
二、现场调研诊断
目的：了解组织的现状，寻找与ISO27001标准的差距
内容：实施调研诊断
包括：
① 根据贵公司的主要业务流程所产生的信息流及其所依赖的计算环境（包括硬件、软件、数据、人力、服务等）进行安全要求的确定；
② 对企业现行业务流程进行全面的了解，按照标准评估企业的信息安全管理体系；
③ 识别各业务流程所采取的管理流程和管理职责；
④ 对照标准要求，寻找改进的机会；

⑤ 根据ISO27001标准的风险评估方法论，国家标准，制定科学、有效、适用的风险评估方法。

宏儒集团武汉分公司为您服务
咨询中心：何老师
QQ 593533187
客服热线【027-87136096,87878019,13396061971】
网址：http://wuhan.hr9000.com/

三、人员培训
目的：提升各级领导和全员的信息安全意识，使内审员具备相应能力
内容：动员会、ISO27001标准培训、信息安全管理体系文件编写培训、培训是落实要求的重要手段
包括：
动员会：提高全员信息安全意识，包括：
什么是信息安全？什么是ISO27001信息安全管理体系？为什么要实施ISO27001？ISO27001信息安全管理体系对企业有什么意义？整个工作流程、进度是怎么安排的？都需要哪些人员培训此项工作？
ISO27001标准培训：主要讲解ISO27001信息安全管理体系标准的条款理解及运用。
管理层培训扩大到中层领导，最后与高层领导在一起培训，高层领导的参与就是一种榜样的力量，有助于全体员工信息安全意识的提高；
四、整合体系文件架设计
目的：策划覆盖各个业务流程的系统的文件化程序。
内容：根据现场诊断的结果，梳理所有管理活动流程，根据ISO27001标准要求形成信息安全管理体系文件清单，
包括：
① 根据所识别的业务流程，形成管理活动流程图；优化或再造业务流程，保证管理活动的系统和顺畅；
② 根据流程图及流程的复杂程度，策划符合标准要求和实际业务要求的信息安全管理体系文件清单；

③ 形成信息安全管理体系文件说明，包括文件的目的、管控范围、职责、管理活动接口、管理流程等；与各业务流程负责人沟通修订文件清单

ISO ISO认证 ISO27001  ISO27001认证 信息质量管理体系 ISO27001体系认证 ISO27001认证 ISO27001质量认证