ISO27001認證是關于信息安全管理體系認證，能有效保證企業在信息安全領域的可靠性，降低企業泄密風險，更好的保存核心數據。

信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產品類別和公司規模限制。從目前的獲得認證的企業情況來看，較多的是設計電信、保險、銀行、數據處理中心、IC制造和軟件外包等行業。

為了提升企業形象，提升企業的競爭力，越來越多的企業申請ISO27001認證，但是大部分企業都不清楚辦理ISO27001認證的流程，介紹企業初次申請ISO27001認證需要做的一些準備工作，并了解一下流程

在審核之前，需要準備的材料有：

1、公司簡介

2、公司營業執照

3、其他相關的行業許可資質（如系統集成資質、增值電信許可資質、軟件著作權、**、商標許可等）

4、公司網絡拓撲圖

5、組織結構圖（部門架構和目前公司的主要人員姓名、歸屬單位、崗位）

6、公司內現有的IT硬件、辦公電腦軟件清單、網絡設備/服務器設備清單

7、公司現有IT方面的管理制度

ISO27001的審核流程比較復雜，而且申請ISO27001認證，ISO27001體系文件必須要運行3個月以上，進行過一次內審和管理評審，才能提交給審核方。這里先看一下具體的審核流程：

1、現狀調研

從日常運維、管理機制、系統配置 等方面對貴公司信息安全管理安全現狀進行調研，通過培訓使貴公司相關人員全面了解信息安全管理的基本知識。包括：

（1）項目啟動：前期溝通，實施計劃，項目小組，資源支持，啟動會議

（2）前期培訓：信息安全管理基礎，風險評估方法

（3）現狀評估：初步了解信息安全現狀，分析與ISO27001標準要求的差距

（4）業務分析：訪談調查，核心與支持任務，業務對資源的需求，業務影響分析

2、風險評估

對貴公司信息資產進行資產價值、威脅因素、脆弱性分析，從而評估貴公司信息安全風險，選擇適當的措施、方法實現管理風險的目的。

（1）資產識別：識別貴公司的各種信息資產

（2）風險評估：重要資產、威脅、弱點、風險識別與評估

3、管理策劃

根據貴公司對信息安全風險的策劃，制定相關信息安全整體規劃、管理規劃、技術規劃等形成完整的信息安全管理系統

（1）文件編寫：編寫ISMS各級管理文件，進行REVIEW及修訂，管理層討論確認

（2）發布實施：ISMS實施計劃，體系文件發布，控制措施實施

（3）中期培訓：全員安全意識培訓，ISMS實施推廣培訓，必要的考核

4、體系實施

ISMS建立起來（體系文件正式發布實施）之后，要通過一定時間的試運行來檢驗其有效性和穩定性

（1）認證申請：與認證機構切磋商，準備材料申請認證，制定認證計劃，預審核

（2）后期培訓:審核員等角色的專業技能培訓

（3）內部審核：審核計劃，Checklist ，內部審核，不符合項整改

（4）管理評審：信息安全管理委員會組織ISMS整體評審，糾正預防

5、認證審核

經過一定時間運行，ISMS達到一個穩定的狀態，各項文檔和記錄已經建立完備，此時，可以提請進行認證。

（1）認證準備：準備送審文件，安排部署審核事項

（2）協助認證：內部審核小組陪同協助，應對審核問題

對于初次申請審核，自己申請很有可能會因為沒有經驗而浪費大量的時間和人力。山東智達一向以客戶為本，凡事以客戶的利益出發，盡可能簡化客戶自身操作的流程，用專業的服務提高認證申請的通過率。山東智達擁有專業且經驗豐富的審核團隊，全程管家式服務，從實際、人工、經濟各方面為企業降低審核成本，準確、高效的完成審核流程，近年來已經幫助全國多家企業完成審核，大大提高了企業競爭力。

教育培訓

　　為了強化組織信息安全意識，明確信息安全管理體系的基本要求，進行信息安全管理體系標準和相關知識的培訓是十分必要的，這也是組織搞好信息安全管理的關鍵因素之一。

　　擬定計劃

　　信息安全管理體系的建立和維持是一項復雜的系統工程，包括培訓、風險評估、文件編寫、運行、審核、 糾正和預防措施等大量的工作。為確保體系順利的建立，組織應進行統籌安排，即制定一個切實可行的工作計劃，明確不同時間段的 工作任務目標及責任分工，控制工作進度，突出工作重點，例如采用工程進度計劃表。總體計劃被批準后，就可以針對具體工作項目 制定詳細計劃，例如文件編寫計劃。在制定計劃時，組織應考慮資源需求，例如人員的需求、培訓經費、辦公設施、聘請咨詢公司的 費用等，如果尋求體系的第三方認證，還要考慮認證費用，組織最高管理層應確保提供建立體系所必須的人力與財務資源。

　　確定信息安全方針與信息安全管理體系范圍

　　信息安全方針是關于在一個組織內，指導如何對資產， 包括敏感信息進行管理、保護和分配的規則、指示。這里所談到的信息安全方針是組織信息安全的總體方針，組織首先應制定信息安 全方針，描述信息安全在組織內的重要性，表明管理層的承諾，提出組織管理信息安全的方法，以便為組織的信息安全提供管理方向 與支持。

　　現狀調查與風險評估

　　組織信息安全管理現狀調查與風險評估工作是建立信息安全管理體系 的基礎與關鍵，在體系建立的整個過程中，風險評估的工作量占了很大比例，風險評估的工作質量直接影響安全控制的合理選擇，因 此，組織應責成專門的部門負責此項基礎性工作，風險評估人員應理解標準的基本要求，掌握風險評估的方法，熟悉組織商務運作流 程與信息系統。風險評估需要不同部門的管理、信息技術、操作人員參與，必要時應獲得信息安全專家的支持。風險評估的結果應被 確認。

　　信息安全管理體系策劃

　　在完成現狀調查與風險評估工作之后，組織要根據已確立的 信息安全方針的總體要求與信息安全管理體系范圍、風險評估的結果，明確組織信息安全結構與職責、選擇控制目標與控制方式、編 寫控制概要、制定業務持續性計劃。