ISO27000認證該怎么開展？

　　在ISO27001標準中明確指出，企業需要建立和保持文件化的信息安全體系。體系文件中需要明確應當保護的資產、如何管理風險、怎么樣控制目標及其控制方式，以及保護等級。

　　每個企業的特點和實際情況都不盡相同，在建立和完善ISO27000信息安全管理體系也應當根據企業自身的情況來調整方法和步驟。但總的來說，建立ISO27000信息安全管理體系的過程可以總結為4個重要步驟：

　　ISO27000體系策劃和準備階段，體系文件編制，體系運行，體系評審階段。

       我們所處的是一個信息化時代，如何保證信息的安全，如何防止商業信息的泄露，已經成為企業急需解決的問題，而ISO27000信息安全管理體系給出了答案，開展ISO27000認證，需要全體人員的參與和配合。

公司在注冊ISO27000驗證以前，盡量要提前準備公司內部的教育培訓工作。一方面就是為了加強職工的公司信息安全意識，確立信息內容安全風險管理基本要求;另一方面，也可以讓相關人員更好地了解ISO27000認證是什么，為接下來試點工作充分準備。總而言之，公司對團隊開展網絡信息安全管理體系標準和基本知識培訓學習是十分必要的，那也是公司做好網絡安全管理的重要因素之一。

1.擬定計劃

信息內容安全風險管理的建設和保持是一項繁雜的工程項目，包含企業內部培訓、風險評價、文件編寫、運作、審批、矯正和防范措施等大量工作。為保證管理體系順利地創建，企業應開展統籌安排，即制定一個行之有效的工作規劃，確立不一樣時間范圍的工作職責總體目標及責任分工，操縱工作進展，突出工作重點，比如選用工程項目施工進度表。總體計劃被審批后，就可以結合主要工作新項目制訂詳盡方案，比如文件編寫方案。在制訂計劃時，公司應注意數據需求，比如工作人員的需要、培訓經費、辦公設備、聘用咨詢管理公司費用等，假如尋找體系第三方認證，還要考慮到認證費用，公司*高管理層應保證給予建立體系所必需的人力資源與財務資源。

2.明確信息安全方針與信息安全風險管理范疇

信息安全方針講的是在一個公司內部，具體指導應當怎樣財產，包含隱私信息進行監管、保護與分派規則、標示。這兒所談到的信息安全方針是企業信息安全的整體戰略方針，公司首先應該制訂信息安全方針，敘述網絡信息安全在公司內部的必要性，說明管理人員的服務承諾，明確提出企業經營管理網絡信息安全的辦法，便于為公司的網絡信息安全給予管理方向和支持。

3.現狀調查與風險評價

公司網絡安全管理現狀調查與風險評估工作是實現信息內容安全風險管理的前提與重要，在管理體系創建的過程中，風險評價工作量占較大比率，風險評價的工作效能直接關系安全管理的選擇合適的，因而，企業應責令專門部門負責該項基礎工作，風險評價工作人員應了解規范基本要求，把握風險性評估的方法，了解企業商務運行步驟與信息管理系統。風險評價必須不一樣單位的監管、信息科技、作業人員參加，必需時要得到信息安全專家的大力支持。風險評價得到的結果應被確定。

4.信息內容安全風險管理方案策劃

在做完現狀調查與風險評估工作以后，公司應該根據已制訂的信息安全方針的總體要求與信息安全風險管理范疇、風險評價得到的結果，確立企業信息安全結構和崗位職責、挑選保障措施與控制方法、撰寫操縱概述、制訂業務流程延續性方案