這么簡單的問題，相信大家都已經知道。是的，信息安全管理體系就是ISO27001，而不是ISO20000哈。很多伙伴會把ISO27001和ISO20000混淆，所以特別提醒大家，ISO20000是IT信息服務管理體系，ISO27001才是信息安全管理體系哈。好啦，進入正題，本文要跟大家分享的是做信息安全管理體系認證需經歷的幾個階段!

　　一、項目前期準備階段

　　目的：充分體現領導作用和全員參與的原則，確保各個層面意識到信息安全管理體系的必要性和管理層的決心

　　二、現場調研診斷

　　目的：了解組織的現狀，尋找與ISO27001標準的差距

　　三、人員培訓

　　目的：提升各級領導和全員的信息安全意識，使內審員具備相應能力

　　四、整合體系文件架設計

　　目的：策劃覆蓋各個業務流程的系統的文件化程序。

　　五、確定信息安全方針和目標

　　目的：明確信息安全方針和目標，為信息安全管理體系提供導向。

　　六、建立管理組織機構

　　目的：建立完善的內控組織架構，為整合體系提供支持。

　　七、信息安全風險評估

　　目的：實施風險評估，識別不可接受風險，明確管理目標;

　　八、信息安全管理體系文件編寫

　　目的：建立文件化的信息安全管理體系。

　　九、信息安全管理體系記錄的設計

　　十、信息安全管理體系文件審核

　　目的：確保ISMS信息安全管理體系文件的系統性、有效性和效率。

　　十一、信息安全體系文件發布實施

　　目的：發布ISMS信息安全管理體系文件，落實管理要求。

　　十二、組織全員進行文件學習

　　目的：確保信息安全管理體系文件要求在各個層級、各個崗位均得到有效的溝通和理解。

　　十三、業務連續性管理

　　目的：確保在任何情況下，核心業務均可保持提供連續提供服務的能力。

　　十四、審核培訓及內審

　　目的：實施內部審核，發現信息安全管理體系運行中的不符合，尋找改進的機會。

　　十五、管理體系有效性測量

　　目的：根據量化指標，測量信息安全管理體系的有效性。

　　十六、管理評審

　　目的：將體系運行過程中的成效和問題向管理層匯報，由最高管理者提出改進的要求和資源的支持。

　　十七、認證機構正式審核

　　目的：由第三方權威機構審核信息安全管理體系的有效性。