（一）

準(zhǔn)

備

階

段

1、項(xiàng)目啟動

l 根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定信息安全、IT服務(wù)管理的范圍，包括對范圍任何刪減的詳細(xì)說明和正當(dāng)性理由。

l 根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定信息安全、IT服務(wù)方針。

l 確立管理體系推行的組織及操作模式，建立信息安全、IT服務(wù)管理委員會。

2、前期培訓(xùn)

l ISO27001:2013基本知識簡介、實(shí)施意義和步驟、標(biāo)準(zhǔn)條款具體講解說明及相關(guān)知識的培訓(xùn)。

l 使高層及各相關(guān)部門了解公司導(dǎo)入、實(shí)施信息安全管理體系的重要意義并達(dá)成一致共識。

l 使全體員工了解自身在推行ISO27001:2013過程中所擔(dān)當(dāng)?shù)慕巧�和作用，以利于各�?xiàng)推行活動的順利開展。

3、信息安全現(xiàn)狀調(diào)研

l 選擇重要的、關(guān)注需求模式的過程及子過程。

l 明確公司的總體業(yè)務(wù)，并形成流程圖。流程圖需要詳細(xì)、全面概括組織的主體流程，包括其邏輯及技術(shù)構(gòu)架。

l 挑選組織中關(guān)鍵的人員以訪談的形式進(jìn)行交流分析。

l 討論分析組織對信息安全的需求與現(xiàn)狀。

4、風(fēng)險(xiǎn)評估

l 識別風(fēng)險(xiǎn)。

l 分析和評價(jià)風(fēng)險(xiǎn)。

l 識別和評價(jià)風(fēng)險(xiǎn)處置的可選措施。

l 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施（制定不可接受風(fēng)險(xiǎn)處理計(jì)劃）。

l 獲得管理者對建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)。

（二）

實(shí)

現(xiàn)

階

段

1、文件化管理體系的建立

l 信息安全管理體系文件架構(gòu)確定（通常分為四層次如手冊、程序文件、作業(yè)指導(dǎo)書、記錄表單）。

l 明確各層次所需文件、文件編制的責(zé)任人員、進(jìn)度安排。

l 文件編寫注意事項(xiàng)、文件格式和風(fēng)格的確定和培訓(xùn)。

l 按計(jì)劃編制各層次文件的初稿。

l 由咨詢師與貴公司責(zé)任人員對文件初稿予以討論修訂、定稿。

2、文件的發(fā)布和實(shí)施

l 文件經(jīng)公司領(lǐng)導(dǎo)審核并由總經(jīng)理批準(zhǔn)后予以正式發(fā)布。

l 體系文件培訓(xùn)并考核。

3、中期培訓(xùn)

l 全員意識培訓(xùn)，信息安全管理雙體系實(shí)施推廣培訓(xùn)，必要的考核。

（三）

運(yùn)

行

階

段

1、 監(jiān)視和測量

l 迅速識別信息安全的隱患、質(zhì)量違規(guī)的事件；

l 使管理者能夠確定分配給人員的安全活動或通過信息技術(shù)實(shí)施的安全活動是否按期執(zhí)行；

l 確定解決信息安全、質(zhì)量違規(guī)的措施是否有效。

l 在考慮信息安全&質(zhì)量審核結(jié)果、事件、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進(jìn)行信息安全、IT服務(wù)管理體系有效性的定期評審。

l 測量控制措施的有效性以驗(yàn)證信息安全、質(zhì)量要求是否被滿足。

2、 認(rèn)證申請

l 與認(rèn)證機(jī)構(gòu)磋商，準(zhǔn)備材料申請認(rèn)證，制定認(rèn)證計(jì)劃。

3、后期培訓(xùn)

l 內(nèi)審員等角色的專業(yè)技能培訓(xùn)。

4、內(nèi)部審核

l 審核準(zhǔn)備：組成審核組、審核方案的策劃、審核計(jì)劃的策劃、編寫檢查單。

l 審核策劃

l 審核實(shí)施：首次會議、審核活動（文件審查、現(xiàn)場審查）、不符合項(xiàng)確定、末次會議。

l 審核報(bào)告

l 糾正措施的實(shí)施和驗(yàn)證

5、管理評審

l 由總經(jīng)理對雙體系整體運(yùn)作狀況予以評價(jià)，包括雙體系的適宜性、有效性和充分性，并針對存在的不符合項(xiàng)采取糾正計(jì)劃。

l 各責(zé)任部門對不符合項(xiàng)予以改進(jìn)、跟蹤和驗(yàn)證，以進(jìn)一步促使體系改進(jìn)。

（四）

認(rèn)

證

階

段

1、認(rèn)證審核前培訓(xùn)

l 正式認(rèn)證前一周，由咨詢師實(shí)施審核指導(dǎo)培訓(xùn)，講解審核應(yīng)對技巧和注意事項(xiàng)。

2、認(rèn)證準(zhǔn)備

l 準(zhǔn)備送審文件，安排部署審核事項(xiàng)。

3、協(xié)助認(rèn)證

l 內(nèi)部審核小組陪同協(xié)助，應(yīng)對審核問題。