第一階段：準(zhǔn)備階段

1．差距分析：

當(dāng)貴公司與本公司簽訂咨詢合同后，我們會在一周內(nèi)安排咨詢小組開展準(zhǔn)備工作。并在合同生效一周內(nèi)對貴公司現(xiàn)有信息安全管理體系與貴公司將要建立的相應(yīng)ISO27001質(zhì)量管理模式進(jìn)行比照性診斷，并提出合理性建議以進(jìn)行下一步工作。

2．制定詳細(xì)實施計劃：

按照雙方合同規(guī)定的服務(wù)期限，我們會在論斷結(jié)束后，制定出詳細(xì)的認(rèn)證咨詢的詳細(xì)實施計劃，并按合同規(guī)定內(nèi)容將每項工作落實到部門。

3．建立信息安全組織機(jī)構(gòu)：

領(lǐng)導(dǎo)的重視及參與程度是能否按期通過認(rèn)證的關(guān)鍵，著手工作計劃之前，按照貴公司的組織機(jī)構(gòu)特點(diǎn)，我們會配合貴公司成立ISO27001推行委員會并落實職責(zé)；公司負(fù)責(zé)任命一名管理者代表，全面負(fù)責(zé)貴公司信息安全管理體系的建立、實施、維持、完善和對外聯(lián)絡(luò)工作。

4．進(jìn)行ISO27001標(biāo)準(zhǔn)培訓(xùn)：

此階段為ISO27001標(biāo)準(zhǔn)宣貫階段，按照培訓(xùn)計劃，介紹ISO27001標(biāo)準(zhǔn)的歷史、內(nèi)容、實施方法等；此階段我們會加強(qiáng)對推行委員會人員的額外培訓(xùn)，提高其對標(biāo)準(zhǔn)認(rèn)識和今后實施的能力。

第二階段：風(fēng)險評估階段

5．風(fēng)險評估與管理培訓(xùn)：

建議貴公司需完善必備的檢測手段或生產(chǎn)設(shè)備，總之，體系的建立要力求有效，使企業(yè)的各項管理活動得以規(guī)范化、制度化、文化化，在成熟條件下可以實現(xiàn)無紙化。

6．風(fēng)險評估：

我們采用系統(tǒng)工程的方法，分析目前貴公司組織機(jī)構(gòu)特點(diǎn)并確定各部門的職能，分析產(chǎn)品實現(xiàn)過程的復(fù)雜性，分析目前貴公司資源情況，這個過程如果涉及與ISO27001標(biāo)準(zhǔn)不符之處，我們將向貴公司領(lǐng)導(dǎo)提出調(diào)整部分組織機(jī)構(gòu)或職能的具體建議，根據(jù)工藝和過程的復(fù)雜性確定信息安全管理體系結(jié)構(gòu)層次；

7．制定風(fēng)險處理計劃：

根據(jù)各項信息安全管理活動所涉及的部門，我們指導(dǎo)貴公司列出職責(zé)分配表，將信息安全活動層層分解到人，做到事事有人管，人人有專責(zé)，職責(zé)分明。

8.編制適用性說明

ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn)，比如ISO9000和ISO14001等相互兼容而設(shè)計的，這一標(biāo)準(zhǔn)中的編號系統(tǒng)和文件管理需求的設(shè)計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。

9．制定業(yè)務(wù)持續(xù)性計劃：

所有信息安全管理體系文件初稿經(jīng)討論、修改完畢后，針對文件中所涉及的部門，我們將指導(dǎo)、組織有關(guān)人員對文件的可行性與持續(xù)性進(jìn)行討論；根據(jù)討論結(jié)果我們對文件進(jìn)行一次集中的修訂，并交付最高管理者審批。

第三階段：ISMS體系文件建立階段

10.確定信息安全管理體系架構(gòu)：

在組織內(nèi)部，管理層應(yīng)當(dāng)負(fù)責(zé)決策，而不是IT部門。一個規(guī)范的信息安全管理體系必須明確指出，組織機(jī)構(gòu)董事會和管理層應(yīng)當(dāng)負(fù)責(zé)相關(guān)信息安全管理體系的決策，同時，這個體系也應(yīng)當(dāng)能夠反映這種決策，并且在運(yùn)行過程中能夠提供證據(jù)證明其有效性。

這個項目應(yīng)該由質(zhì)量管理經(jīng)理、總經(jīng)理或者其他負(fù)責(zé)機(jī)構(gòu)內(nèi)部重大職能的執(zhí)行主管負(fù)責(zé)主持。

11.文件編寫：

我們將根據(jù)信息安全管理標(biāo)準(zhǔn)規(guī)范來指導(dǎo)并協(xié)助貴公司人員對信息安全管理文件的編寫過程的討論，制定出適合貴公司的信息安全管理體系。

12．文件評審及發(fā)布：

所有信息安全管理體系文件初稿經(jīng)討論、修改完畢后，針對文件中所涉及的部門，我們將指導(dǎo)、組織有關(guān)人員對文件的可行性進(jìn)行討論；根據(jù)討論結(jié)果我們對文件進(jìn)行一次集中的修訂，并交付最高管理者審批。

13．ISMS體系宣貫：

我們對貴公司骨干人員培訓(xùn)，學(xué)習(xí)信息安全的文件，并進(jìn)行適當(dāng)?shù)目己?；隨著信息安全管理體系的實施，貴公司所有人員自實施之日起必須按文件規(guī)定的方法去執(zhí)行，一開始可能會帶來一些不適應(yīng)，如果大家都對新程序了如指掌，實施的進(jìn)度和效果無疑會好得多，所以實施前的學(xué)習(xí)和培訓(xùn)是非常關(guān)鍵的。

第四階段，ISMS體系運(yùn)行與完善階段

14．試運(yùn)行：

一個初建立的管理體系必須通過實際運(yùn)行進(jìn)行不斷的完善，才可趨于成熟。運(yùn)行的過程便是對文件的有效性和可行性的一種檢驗，也是對現(xiàn)行質(zhì)量活動的指導(dǎo)。我們會用較多的時間幫助貴公司發(fā)現(xiàn)并解決運(yùn)行中出現(xiàn)的實際問題，幫助貴公司盡快糾正內(nèi)部質(zhì)量管理體系審核中發(fā)現(xiàn)的不符合項，指導(dǎo)貴公司進(jìn)行管理評審，并協(xié)助貴公司落實管理評審、提出糾正措施。需要時可能要修改文件或因?qū)嵤┝Χ炔粔蛐枰邔宇I(lǐng)導(dǎo)者采取有效的措施。

15．培訓(xùn)內(nèi)審員

貴公司所建立的信息安全管理體系，要從內(nèi)審中逐步發(fā)現(xiàn)問題，使體系逐步趨于完善。我們將為貴公司培訓(xùn)一批內(nèi)審員，內(nèi)審員應(yīng)具備一定的專業(yè)知識，思維敏捷，精明強(qiáng)干，協(xié)調(diào)能力和社交能力強(qiáng)；我們會按照本公司編制的信息安全管理體系內(nèi)部審核員教程實施培訓(xùn)，他們便成為企業(yè)信息安全管理體系運(yùn)行推動的中堅力量。

16.組織第一次內(nèi)審及改進(jìn)

在信息安全管理體系運(yùn)行一個月左右，我們會率先幫助企業(yè)進(jìn)行第一次內(nèi)審，在內(nèi)審時安排貴公司內(nèi)審員共同進(jìn)行，以使他們今后能獨(dú)立開展內(nèi)審工作。針對內(nèi)審發(fā)現(xiàn)的不符合項，開具出書面不符合報告，經(jīng)確認(rèn)后分發(fā)至各部門，并呈交貴公司領(lǐng)導(dǎo)。

17.組織第二次內(nèi)審及改進(jìn)

以內(nèi)審員為主、咨詢師為輔再次組織一次內(nèi)審，而在認(rèn)證之前，將由貴公司內(nèi)審小組獨(dú)立組織一次內(nèi)審。今后,貴公司應(yīng)根據(jù)實際情況，由內(nèi)審小組做出內(nèi)審計劃，持續(xù)開展內(nèi)審工作。

18．組織管理評審：

一個體系運(yùn)行到一個階段，信息安全管理記錄也累積到了一定程度，為確保認(rèn)證的通過，我們將組織一次認(rèn)證前的模擬審核。由于我們認(rèn)證機(jī)構(gòu)都有密切合作關(guān)系，所以，我們將根據(jù)為貴公司提供認(rèn)證的機(jī)構(gòu)的風(fēng)格確定審核重點(diǎn)，在審核中提出的不符合項都應(yīng)即予糾正，避免影響整個取證的進(jìn)度。

第五階段，認(rèn)證階段

19．協(xié)助提交認(rèn)證申請：

若貴公司愿意，我們可幫助企業(yè)提交認(rèn)證申請，并負(fù)責(zé)辦理申請、提交信息安全管理文件、幫助確定、安排審核時間；

20．組織現(xiàn)場迎審：

一旦認(rèn)證時間確定，貴公司所有人員都應(yīng)緊張投入迎審工作，我們指導(dǎo)貴公司組織一個得力的迎審小組，包括后勤安排禮儀接待．陪審人員；而不符合應(yīng)急小組也是非常必要的，對于審核員提出的不符合項可以當(dāng)場糾正的，應(yīng)急小組一定馬上采取措施，在審核結(jié)束前糾正證據(jù)向?qū)徍藛T呈遞，讓審核員相信貴公司信息安全管理體系運(yùn)行的有效性。

21．通過現(xiàn)場認(rèn)證審核，獲證：

現(xiàn)場審核時，我們會加入迎審小組，同貴公司一道迎接審核，為貴公司保駕護(hù)航。企業(yè)全體人員都應(yīng)樹立信心，面對審核不緊張。對審核員提出的問題記錄下來，我們共同研究糾正措施，并力爭在最短的時間內(nèi)糾正。

通過審核后，貴公司將被納入認(rèn)證機(jī)構(gòu)的認(rèn)證名錄，被允許使用認(rèn)證公司的標(biāo)志制作廣告，并接受認(rèn)證機(jī)構(gòu)的監(jiān)督審核。

第六階段：體系持續(xù)改進(jìn)階段

23．標(biāo)準(zhǔn)變更時的培訓(xùn)服務(wù)：

貴公司獲取證書后，ISO27001標(biāo)準(zhǔn)的版本變更時，我們將免費(fèi)為貴公司提供新版本標(biāo)準(zhǔn)的培訓(xùn)，并免費(fèi)幫助修改體系文件直至符合新版標(biāo)準(zhǔn)。

24．提供長期的培訓(xùn)優(yōu)惠方案：

貴公司獲取證書后，當(dāng)我公司舉辦對外公開的培訓(xùn)課程時，將邀請貴公司1－2名管理人員和內(nèi)審員參與培訓(xùn)。