企业初次如何开展ISO27001认证（ISMS建设）项目？

ISO27001知识·干货·FAQ

原创2020-06-02小艾老师

ISO27001国际标准信息安全官认证考证须知证书含金量培训大纲 3分钟小视频我要提问

ISO27001体系自国际标准化组织颁布为国际标准ISO 27001:2005，成为“信息安全管理”之国际通用语言，ISO27001已被全球一万八千多家政府机构和知名企业所采用。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求，有效降低企业面临的风险。ISO27001认证是由APMG机构颁发的个人认证，通过学习信息安全管理方面最著名的国际标准ISO/IEC 27001来指导我们的现实工作。相比于其他信息安全认证，ISO27001更注重信息安全管理的实施、维护与优化方面。

中文名ISO27001国际标准信息安全官认证
英文名Control Objectives for Information Technologies
英文简称ISO27001
颁证机构APMG
证书类别信息安全
同类认证CISSP、CISM、CISA

企业初次如何开展ISO27001认证（ISMS建设）项目？

企业开展ISO27001认证时，一般都是由IT部门牵头，业务部门配合参入。但是对于规范较小的公司，IT部门的力量非常有限，往往是由质量管理部门牵头主导项目，因为这些公司一般都有实施过管理体系认证（ISO9001或者CMMI）或者项目的经验，信息安全管理体系同质量管理体系具有较大的相似性。

前期咨询公司的参入帮助引导主导部门甚至企业领导正确认识信息安全，信息安全管理以及ISO27001认证，就本项目对信息安全的理解和目标达成一致。这非常关键，因为这关系到项目实施过程顺利与否，以及项目目标的达成与否。

项目范围的确定在前面已经做了说明，这里不再累赘。ISO27001项目的招标同其他项目没有区别，一般按照企业既定的招标流程走。ISMS体系的建设实施在此也不多说，也有专门的问题。

ISMS体系认证工作一般分为两个阶段的工作，弟一阶段是文件审核，这个阶段审核员只关注管理体系文件，查看体系文件是否齐全，ISMS建设的方法是否合理，文件查看的重点一般为风险评估方法，业务连续性和管理体系测量等几个方面。第二阶段是现场审核，审核员将根据ISO27001标准的要求以及企业自身信息安全策略的要求，在认证范围内，现场核实制度的实施情况，检查运行记录是重要的审核手段。现场审核将以末次会议的形式结束整个审核工作，如果审核员没有发现重大不符合项，审核员会在末次会议上宣布企业通过现场审核。