ISO27001认证是关于信息安全管理体系认证，能有效保证企业在信息安全领域的可靠性，降低企业泄密风险，更好的保存核心数据。

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产品类别和公司规模限制。从目前的获得认证的企业情况来看，较多的是设计电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

为了提升企业形象，提升企业的竞争力，越来越多的企业申请ISO27001认证，但是大部分企业都不清楚办理ISO27001认证的流程，介绍企业初次申请ISO27001认证需要做的一些准备工作，并了解一下流程

在审核之前，需要准备的材料有：

1、公司简介

2、公司营业执照

3、其他相关的行业许可资质（如系统集成资质、增值电信许可资质、软件著作权、**、商标许可等）

4、公司网络拓扑图

5、组织结构图（部门架构和目前公司的主要人员姓名、归属单位、岗位）

6、公司内现有的IT硬件、办公电脑软件清单、网络设备/服务器设备清单

7、公司现有IT方面的管理制度

ISO27001的审核流程比较复杂，而且申请ISO27001认证，ISO27001体系文件必须要运行3个月以上，进行过一次内审和管理评审，才能提交给审核方。这里先看一下具体的审核流程：

1、现状调研

从日常运维、管理机制、系统配置 等方面对贵公司信息安全管理安全现状进行调研，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括：

（1）项目启动：前期沟通，实施计划，项目小组，资源支持，启动会议

（2）前期培训：信息安全管理基础，风险评估方法

（3）现状评估：初步了解信息安全现状，分析与ISO27001标准要求的差距

（4）业务分析：访谈调查，核心与支持任务，业务对资源的需求，业务影响分析

2、风险评估

对贵公司信息资产进行资产价值、威胁因素、脆弱性分析，从而评估贵公司信息安全风险，选择适当的措施、方法实现管理风险的目的。

（1）资产识别：识别贵公司的各种信息资产

（2）风险评估：重要资产、威胁、弱点、风险识别与评估

3、管理策划

根据贵公司对信息安全风险的策划，制定相关信息安全整体规划、管理规划、技术规划等形成完整的信息安全管理系统

（1）文件编写：编写ISMS各级管理文件，进行REVIEW及修订，管理层讨论确认

（2）发布实施：ISMS实施计划，体系文件发布，控制措施实施

（3）中期培训：全员安全意识培训，ISMS实施推广培训，必要的考核

4、体系实施

ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性

（1）认证申请：与认证机构切磋商，准备材料申请认证，制定认证计划，预审核

（2）后期培训:审核员等角色的专业技能培训

（3）内部审核：审核计划，Checklist ，内部审核，不符合项整改

（4）管理评审：信息安全管理委员会组织ISMS整体评审，纠正预防

5、认证审核

经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。

（1）认证准备：准备送审文件，安排部署审核事项

（2）协助认证：内部审核小组陪同协助，应对审核问题

对于初次申请审核，自己申请很有可能会因为没有经验而浪费大量的时间和人力。山东智达一向以客户为本，凡事以客户的利益出发，尽可能简化客户自身操作的流程，用专业的服务提高认证申请的通过率。山东智达拥有专业且经验丰富的审核团队，全程管家式服务，从实际、人工、经济各方面为企业降低审核成本，准确、高效的完成审核流程，近年来已经帮助全国多家企业完成审核，大大提高了企业竞争力。

教育培训

　　为了强化组织信息安全意识，明确信息安全管理体系的基本要求，进行信息安全管理体系标准和相关知识的培训是十分必要的，这也是组织搞好信息安全管理的关键因素之一。

　　拟定计划

　　信息安全管理体系的建立和维持是一项复杂的系统工程，包括培训、风险评估、文件编写、运行、审核、 纠正和预防措施等大量的工作。为确保体系顺利的建立，组织应进行统筹安排，即制定一个切实可行的工作计划，明确不同时间段的 工作任务目标及责任分工，控制工作进度，突出工作重点，例如采用工程进度计划表。总体计划被批准后，就可以针对具体工作项目 制定详细计划，例如文件编写计划。在制定计划时，组织应考虑资源需求，例如人员的需求、培训经费、办公设施、聘请咨询公司的 费用等，如果寻求体系的第三方认证，还要考虑认证费用，组织最高管理层应确保提供建立体系所必须的人力与财务资源。

　　确定信息安全方针与信息安全管理体系范围

　　信息安全方针是关于在一个组织内，指导如何对资产， 包括敏感信息进行管理、保护和分配的规则、指示。这里所谈到的信息安全方针是组织信息安全的总体方针，组织首先应制定信息安 全方针，描述信息安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，以便为组织的信息安全提供管理方向 与支持。

　　现状调查与风险评估

　　组织信息安全管理现状调查与风险评估工作是建立信息安全管理体系 的基础与关键，在体系建立的整个过程中，风险评估的工作量占了很大比例，风险评估的工作质量直接影响安全控制的合理选择，因 此，组织应责成专门的部门负责此项基础性工作，风险评估人员应理解标准的基本要求，掌握风险评估的方法，熟悉组织商务运作流 程与信息系统。风险评估需要不同部门的管理、信息技术、操作人员参与，必要时应获得信息安全专家的支持。风险评估的结果应被 确认。

　　信息安全管理体系策划

　　在完成现状调查与风险评估工作之后，组织要根据已确立的 信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果，明确组织信息安全结构与职责、选择控制目标与控制方式、编 写控制概要、制定业务持续性计划。