第一階段：準備階段

1．差距分析：

當貴公司與本公司簽訂咨詢(xún)合同后，我們會(huì )在一周內安排咨詢(xún)小組開(kāi)展準備工作。并在合同生效一周內對貴公司現有信息安全管理體系與貴公司將要建立的相應ISO27001質(zhì)量管理模式進(jìn)行比照性診斷，并提出合理性建議以進(jìn)行下一步工作。

2．制定詳細實(shí)施計劃：

按照雙方合同規定的服務(wù)期限，我們會(huì )在論斷結束后，制定出詳細的認證咨詢(xún)的詳細實(shí)施計劃，并按合同規定內容將每項工作落實(shí)到部門(mén)。

3．建立信息安全組織機構：

領(lǐng)導的重視及參與程度是能否按期通過(guò)認證的關(guān)鍵，著(zhù)手工作計劃之前，按照貴公司的組織機構特點(diǎn)，我們會(huì )配合貴公司成立ISO27001推行委員會(huì )并落實(shí)職責；公司負責任命一名管理者代表，全面負責貴公司信息安全管理體系的建立、實(shí)施、維持、完善和對外聯(lián)絡(luò )工作。

4．進(jìn)行ISO27001標準培訓：

此階段為ISO27001標準宣貫階段，按照培訓計劃，介紹ISO27001標準的歷史、內容、實(shí)施方法等；此階段我們會(huì )加強對推行委員會(huì )人員的額外培訓，提高其對標準認識和今后實(shí)施的能力。

第二階段：風(fēng)險評估階段

5．風(fēng)險評估與管理培訓：

建議貴公司需完善必備的檢測手段或生產(chǎn)設備，總之，體系的建立要力求有效，使企業(yè)的各項管理活動(dòng)得以規范化、制度化、文化化，在成熟條件下可以實(shí)現無(wú)紙化。

6．風(fēng)險評估：

我們采用系統工程的方法，分析目前貴公司組織機構特點(diǎn)并確定各部門(mén)的職能，分析產(chǎn)品實(shí)現過(guò)程的復雜性，分析目前貴公司資源情況，這個(gè)過(guò)程如果涉及與ISO27001標準不符之處，我們將向貴公司領(lǐng)導提出調整部分組織機構或職能的具體建議，根據工藝和過(guò)程的復雜性確定信息安全管理體系結構層次；

7．制定風(fēng)險處理計劃：

根據各項信息安全管理活動(dòng)所涉及的部門(mén)，我們指導貴公司列出職責分配表，將信息安全活動(dòng)層層分解到人，做到事事有人管，人人有專(zhuān)責，職責分明。

8. 編制適用性說(shuō)明

ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個(gè)組織正在使用的其他任何管理體系。

9．制定業(yè)務(wù)持續性計劃：

所有信息安全管理體系文件初稿經(jīng)討論、修改完畢后，針對文件中所涉及的部門(mén)，我們將指導、組織有關(guān)人員對文件的可行性與持續性進(jìn)行討論；根據討論結果我們對文件進(jìn)行一次集中的修訂，并交付最高管理者審批。

第三階段：ISMS體系文件建立階段

10.確定信息安全管理體系架構：

在組織內部，管理層應當負責決策，而不是IT部門(mén)。一個(gè)規范的信息安全管理體系必須明確指出，組織機構董事會(huì )和管理層應當負責相關(guān)信息安全管理體系的決策，同時(shí)，這個(gè)體系也應當能夠反映這種決策，并且在運行過(guò)程中能夠提供證據證明其有效性。

這個(gè)項目應該由質(zhì)量管理經(jīng)理、總經(jīng)理或者其他負責機構內部重大職能的執行主管負責主持。

11.文件編寫(xiě)：

我們將根據信息安全管理標準規范來(lái)指導并協(xié)助貴公司人員對信息安全管理文件的編寫(xiě)過(guò)程的討論，制定出適合貴公司的信息安全管理體系。

12．文件評審及發(fā)布：

所有信息安全管理體系文件初稿經(jīng)討論、修改完畢后，針對文件中所涉及的部門(mén)，我們將指導、組織有關(guān)人員對文件的可行性進(jìn)行討論；根據討論結果我們對文件進(jìn)行一次集中的修訂，并交付最高管理者審批。

13．ISMS體系宣貫：

我們對貴公司骨干人員培訓，學(xué)習信息安全的文件，并進(jìn)行適當的考核；隨著(zhù)信息安全管理體系的實(shí)施，貴公司所有人員自實(shí)施之日起必須按文件規定的方法去執行，一開(kāi)始可能會(huì )帶來(lái)一些不適應，如果大家都對新程序了如指掌，實(shí)施的進(jìn)度和效果無(wú)疑會(huì )好得多，所以實(shí)施前的學(xué)習和培訓是非常關(guān)鍵的。

第四階段，ISMS體系運行與完善階段

14．試運行：

一個(gè)初建立的管理體系必須通過(guò)實(shí)際運行進(jìn)行不斷的完善，才可趨于成熟。運行的過(guò)程便是對文件的有效性和可行性的一種檢驗，也是對現行質(zhì)量活動(dòng)的指導。我們會(huì )用較多的時(shí)間幫助貴公司發(fā)現并解決運行中出現的實(shí)際問(wèn)題，幫助貴公司盡快糾正內部質(zhì)量管理體系審核中發(fā)現的不符合項，指導貴公司進(jìn)行管理評審，并協(xié)助貴公司落實(shí)管理評審、提出糾正措施。需要時(shí)可能要修改文件或因實(shí)施力度不夠需要高層領(lǐng)導者采取有效的措施。

15．培訓內審員

貴公司所建立的信息安全管理體系，要從內審中逐步發(fā)現問(wèn)題，使體系逐步趨于完善。我們將為貴公司培訓一批內審員，內審員應具備一定的專(zhuān)業(yè)知識，思維敏捷，精明強干，協(xié)調能力和社交能力強；我們會(huì )按照本公司編制的信息安全管理體系內部審核員教程實(shí)施培訓，他們便成為企業(yè)信息安全管理體系運行推動(dòng)的中堅力量。

16.組織第一次內審及改進(jìn)

在信息安全管理體系運行一個(gè)月左右，我們會(huì )率先幫助企業(yè)進(jìn)行第一次內審，在內審時(shí)安排貴公司內審員共同進(jìn)行，以使他們今后能獨立開(kāi)展內審工作。針對內審發(fā)現的不符合項，開(kāi)具出書(shū)面不符合報告，經(jīng)確認后分發(fā)至各部門(mén)，并呈交貴公司領(lǐng)導。

17.組織第二次內審及改進(jìn)

以?xún)葘弳T為主、咨詢(xún)師為輔再次組織一次內審，而在認證之前，將由貴公司內審小組獨立組織一次內審。今后,貴公司應根據實(shí)際情況，由內審小組做出內審計劃，持續開(kāi)展內審工作。

18．組織管理評審：

一個(gè)體系運行到一個(gè)階段，信息安全管理記錄也累積到了一定程度，為確保認證的通過(guò)，我們將組織一次認證前的模擬審核。由于我們認證機構都有密切合作關(guān)系，所以，我們將根據為貴公司提供認證的機構的風(fēng)格確定審核重點(diǎn)，在審核中提出的不符合項都應即予糾正，避免影響整個(gè)取證的進(jìn)度。

第五階段，認證階段

19．協(xié)助提交認證申請：

若貴公司愿意，我們可幫助企業(yè)提交認證申請，并負責辦理申請、提交信息安全管理文件、幫助確定、安排審核時(shí)間；

20．組織現場(chǎng)迎審：

一旦認證時(shí)間確定，貴公司所有人員都應緊張投入迎審工作，我們指導貴公司組織一個(gè)得力的迎審小組，包括后勤安排禮儀接待．陪審人員；而不符合應急小組也是非常必要的，對于審核員提出的不符合項可以當場(chǎng)糾正的，應急小組一定馬上采取措施，在審核結束前糾正證據向審核員呈遞，讓審核員相信貴公司信息安全管理體系運行的有效性。

21．通過(guò)現場(chǎng)認證審核，獲證：

現場(chǎng)審核時(shí)，我們會(huì )加入迎審小組，同貴公司一道迎接審核，為貴公司保駕護航。企業(yè)全體人員都應樹(shù)立信心，面對審核不緊張。對審核員提出的問(wèn)題記錄下來(lái)，我們共同研究糾正措施，并力爭在最短的時(shí)間內糾正。

通過(guò)審核后，貴公司將被納入認證機構的認證名錄，被允許使用認證公司的標志制作廣告，并接受認證機構的監督審核。

第六階段：體系持續改進(jìn)階段

23．標準變更時(shí)的培訓服務(wù)：

貴公司獲取證書(shū)后，ISO27001標準的版本變更時(shí)，我們將免費為貴公司提供新版本標準的培訓，并免費幫助修改體系文件直至符合新版標準。

24．提供長(cháng)期的培訓優(yōu)惠方案：

貴公司獲取證書(shū)后，當我公司舉辦對外公開(kāi)的培訓課程時(shí)，將邀請貴公司1－2名管理人員和內審員參與培訓。