取得认证的程序

1. ISO27001认证项目准备阶段
启动该项目所必需的组织准备包括：
1)理解管理层意图，渗透管理思路；
2)将实施ISO27001认证项目的决定、目的、意义、要求在组织内传达，这也是体现内部沟通，提高全体员工意识的必要手段；
3)组织建设，包括任命管理者代表、成立贯标组织机构、各级质量及信息 安全管理人员，明确其职责。 

2. 现场诊断
1）根据企业的主要业务流程所产生的信息流及其所依赖的计算环境（包括硬件、软件、数据、人力、服务等）进行安全要求的确定；
2）对企业现行业务流程进行全面的了解，按照标准评估企业的质量体系；
3）识别各业务流程所采取的管理流程和管理职责；
4）对照标准要求，寻找改进的机会；
5）根据ISO27001的风险评估方法论，国家标准，制定科学、有效、适用的风险评估方法。

3. 管理层培训 
管理层培训扩大到中层领导，Zui后与高层领导在一起培训，高层领导的 参与就是一种榜样的力量，有助于全体员工质量及信息安全意识的提高；

4. 整合体系文件架设计
1）根据所识别的业务流程，形成管理活动流程图；优化或再造业务流程，保证管理活动的系统和顺畅；
2）根据流程图及流程的复杂程度，策划符合标准要求和实际业务要求的管理体系文件清单；
3）形成管理体系文件说明，包括文件的目的、管控范围、职责、管理活动接口、管理流程等；与各业务流程负责人沟通修订文件清单

5. 确定质量和信息安全方针和目标
1）与Zui高管理者进行沟通，理解管理意图和管理要求，设计质量和安全方针；
2）根据方针的要求，制定目标，并分解到各个管理活动中，形成可测量的指标体系，确保方针和目标得以实现； 

6. 建立管理组织机构
1）建立整合体系管理委员会，就重大质量管理和信息安全事项进行决策；
2）建立管理协调小组，就日常管理活动中的质量及信息安全事项进行沟通改进；
3）明确管理活动中各流程责任人的职责，并文件化。 

7. 信息安全风险评估
1）根据业务要求及信息的密级划分，对信息资产的重要程度进行判定，识别对关键核心业务具有关键作用的信息资产清单；对重要信息资产从内部及外部识别其所面临的威胁；
2）根据威胁，从管理和技术两方面识别重要信息资产所存在的薄弱点；
3）根据风险评估的方法指南，对威胁利用薄弱点对重要信息资产所产生的风险在保密性、完整性、可用性三方面所造成的影响进行评价；评价威胁利用薄弱点引发安全风险事件的可能性；
4）根据风险影响及发生的可能性评价风险等级；
5）根据信息安全方针，各核心业务流程的安全要求，与管理层进行沟通，确定不可接受风险等级的标准；
6）针对不可接受的高风险，制定风险处理计划，从ISO27002及顾问的行业经验来选择适宜的风险管控措施；实施所选择的控制措施，降低、转移或消除安全风险；
7）编写风险评估报告。

 
8. 体系文件编写 
1）整合体系手册，明确各管理过程的顺序及相互关系；
2）整合体系所要求的程序文件，从体系维护管理、资产管理、物理环境安全、人力资源安全、访问控制、通信和运作管理、业务连续性管理、信息安全事件管理、符合性等方面对各类管理活动及作业指导进行文件化；
3）制定各类安全策略，如：电子邮件策略、互联网访问策略，访问控制策略等 

9. 管理体系记录的设计
1）搜集原有管理记录；
2）优化记录或重新设计；
3）沟通记录的形式和管理记录填写的必要性，保证管理体系的可控性与记录保持的数量之间的平衡。

10. 管理体系文件审核 
1）对照风险评估结果及SoA的框架，对照核心业务流程，审核程序文件及作业指导书的系统性；
2）针对每一个具体的管理流程，审核文件所描述的管理职责、管理活动是否符合实际情况，流程责任人是否能够按照文件要求执行管理活动；
3）针对文件所要求的管理活动，审核其效率是否满足管理的要求；形成文件审核的结论，并通过管理层的审批，对文件进行修订，形成发布稿。

11. 体系文件发布实施
1）召开文件发布会，Zui高管理者提出管理体系运行的总要求，使全员意识到管理体系文件是管理活动的行动指南和强制要求；
2）各流程责任人根据管理体系文件的要求落实各项管理活动，保持管理体系所要求的记录；认证项目组搜集体系运行中所发现的问题，包括流程上的、职责上的、 资源上的、技术上的等，统一修改、处理、答复。

12. 组织全员进行文件学习
1）充分考虑管理活动的范围，设计分层次、分阶段的系统性的培训计划；
2）培训中考虑到管理要求的内容，也将考虑到技术上的要求，不简单的对 体系文件照本宣科；对培训的效果进行评价，采用考试、实际操作、讨论等多种方式进行，确保培训的有效性。

13. 业务连续性管理 
1）从战略的层面进行业务连续、永续经营的考虑，明确各核心业务流程的Zui大可容许中断时间；
2）识别核心业务可能遭受到的灾难性风险事件；
3）评估灾难性事件所引发的影响；
4）针对灾难性事件，设计管控措施，制定详细的业务连续性计划，包括应急响应的组织架构、人员职责、响应流程、恢复流程等；
5）实施业务连续性计划所要求的管理上及技术上的改进；
6）测试业务连续性计划的每一个步骤，确保其有效性；根据测试的结果进一步改进业务连续性计划，为应对灾难事件提供信心保证。

14. 内部审核 
1）制定内部审核计划，与受审核人员进行沟通；
2）召开内部审核首次会议，明确审核计划、审核范围、审核目的、审核活动的安排等事项；
3）带领内审员实施现场审核活动：
4）根据审核发现开具不符合项报告，明确审核的对象、审核发现、不符合事实、改进要求，并确定整改责任人，限期改进：
5）召开内部审核末次会议，报告所有的审核发现：对不符合事项进行跟踪验证，确保所有的不符合均被有效关闭。

15. 管理体系有效性测量
1）设计测量方法，从各个管理流程中制定安全关键绩效指标KPI；
2）搜集运行过程中的记录数据，利用量化的数据分析，体现管理体系所带来的改进；
3）对比信息安全管理目标和指标体系，测量KPI是否达成管理目标的要求；
4）对所发现的问题进行沟通，制定纠正预防措施并落实责任人，改进管理 体系的有效性。

16. 管理评审 
1）制定管理评审计划；
2）准备管理评审输入材料，包括风险状况、安全措施落实情况、各相关方的反馈、业务连续性管理架构、管理体系内部审核情况、体系有效性测 量报告等；
3）召开管理评审会议；根据Zui高管理者提出的管理要求，实施纠正预防措施或管理改进方案；
4）跟踪纠正预防措施及管理改进方案的落实情况。

17. ISO27001认证机构初访及正式审核
1）与审核机构沟通审核的时间计划安排；实施审核活动，并提交审核报告；
2）根据审核报告，制定必要的纠正预防措施，并将改进的证据提交审核机构；
3）获得信息安全管理体系认证证书。