（一）

準

備

階

段

1、項目啟動

l 根據業務、組織、位置、資產和技術等方面的特性，確定信息安全、IT服務管理的范圍，包括對范圍任何刪減的詳細說明和正當性理由。

l 根據業務、組織、位置、資產和技術等方面的特性，確定信息安全、IT服務方針。

l 確立管理體系推行的組織及操作模式，建立信息安全、IT服務管理委員會。

2、前期培訓

l ISO27001:2013基本知識簡介、實施意義和步驟、標準條款具體講解說明及相關知識的培訓。

l 使高層及各相關部門了解公司導入、實施信息安全管理體系的重要意義并達成一致共識。

l 使全體員工了解自身在推行ISO27001:2013過程中所擔當的角色和作用，以利于各項推行活動的順利開展。

3、信息安全現狀調研

l 選擇重要的、關注需求模式的過程及子過程。

l 明確公司的總體業務，并形成流程圖。流程圖需要詳細、全面概括組織的主體流程，包括其邏輯及技術構架。

l 挑選組織中關鍵的人員以訪談的形式進行交流分析。

l 討論分析組織對信息安全的需求與現狀。

4、風險評估

l 識別風險。

l 分析和評價風險。

l 識別和評價風險處置的可選措施。

l 為處理風險選擇控制目標和控制措施（制定不可接受風險處理計劃）。

l 獲得管理者對建議的殘余風險的批準。

（二）

實

現

階

段

1、文件化管理體系的建立

l 信息安全管理體系文件架構確定（通常分為四層次如手冊、程序文件、作業指導書、記錄表單）。

l 明確各層次所需文件、文件編制的責任人員、進度安排。

l 文件編寫注意事項、文件格式和風格的確定和培訓。

l 按計劃編制各層次文件的初稿。

l 由咨詢師與貴公司責任人員對文件初稿予以討論修訂、定稿。

2、文件的發布和實施

l 文件經公司領導審核并由總經理批準后予以正式發布。

l 體系文件培訓并考核。

3、中期培訓

l 全員意識培訓，信息安全管理雙體系實施推廣培訓，必要的考核。

（三）

運

行

階

段

1、 監視和測量

l 迅速識別信息安全的隱患、質量違規的事件；

l 使管理者能夠確定分配給人員的安全活動或通過信息技術實施的安全活動是否按期執行；

l 確定解決信息安全、質量違規的措施是否有效。

l 在考慮信息安全&質量審核結果、事件、有效性測量結果、所有相關方的建議和反饋的基礎上，進行信息安全、IT服務管理體系有效性的定期評審。

l 測量控制措施的有效性以驗證信息安全、質量要求是否被滿足。

2、 認證申請

l 與認證機構磋商，準備材料申請認證，制定認證計劃。

3、后期培訓

l 內審員等角色的專業技能培訓。

4、內部審核

l 審核準備：組成審核組、審核方案的策劃、審核計劃的策劃、編寫檢查單。

l 審核策劃

l 審核實施：首次會議、審核活動（文件審查、現場審查）、不符合項確定、末次會議。

l 審核報告

l 糾正措施的實施和驗證

5、管理評審

l 由總經理對雙體系整體運作狀況予以評價，包括雙體系的適宜性、有效性和充分性，并針對存在的不符合項采取糾正計劃。

l 各責任部門對不符合項予以改進、跟蹤和驗證，以進一步促使體系改進。

（四）

認

證

階

段

1、認證審核前培訓

l 正式認證前一周，由咨詢師實施審核指導培訓，講解審核應對技巧和注意事項。

2、認證準備

l 準備送審文件，安排部署審核事項。

3、協助認證

l 內部審核小組陪同協助，應對審核問題。