第一階段：準備階段

1．差距分析：

當貴公司與本公司簽訂咨詢合同后，我們會在一周內安排咨詢小組開展準備工作。并在合同生效一周內對貴公司現(xiàn)有信息安全管理體系與貴公司將要建立的相應ISO27001質量管理模式進行比照性診斷，并提出合理性建議以進行下一步工作。

2．制定詳細實施計劃：

按照雙方合同規(guī)定的服務期限，我們會在論斷結束后，制定出詳細的認證咨詢的詳細實施計劃，并按合同規(guī)定內容將每項工作落實到部門。

3．建立信息安全組織機構：

領導的重視及參與程度是能否按期通過認證的關鍵，著手工作計劃之前，按照貴公司的組織機構特點，我們會配合貴公司成立ISO27001推行委員會并落實職責；公司負責任命一名管理者代表，全面負責貴公司信息安全管理體系的建立、實施、維持、完善和對外聯(lián)絡工作。

4．進行ISO27001標準培訓：

此階段為ISO27001標準宣貫階段，按照培訓計劃，介紹ISO27001標準的歷史、內容、實施方法等；此階段我們會加強對推行委員會人員的額外培訓，提高其對標準認識和今后實施的能力。

第二階段：風險評估階段

5．風險評估與管理培訓：

建議貴公司需完善必備的檢測手段或生產設備，總之，體系的建立要力求有效，使企業(yè)的各項管理活動得以規(guī)范化、制度化、文化化，在成熟條件下可以實現(xiàn)無紙化。

6．風險評估：

我們采用系統(tǒng)工程的方法，分析目前貴公司組織機構特點并確定各部門的職能，分析產品實現(xiàn)過程的復雜性，分析目前貴公司資源情況，這個過程如果涉及與ISO27001標準不符之處，我們將向貴公司領導提出調整部分組織機構或職能的具體建議，根據(jù)工藝和過程的復雜性確定信息安全管理體系結構層次；

7．制定風險處理計劃：

根據(jù)各項信息安全管理活動所涉及的部門，我們指導貴公司列出職責分配表，將信息安全活動層層分解到人，做到事事有人管，人人有專責，職責分明。

8. 編制適用性說明

ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統(tǒng)和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。

9．制定業(yè)務持續(xù)性計劃：

所有信息安全管理體系文件初稿經討論、修改完畢后，針對文件中所涉及的部門，我們將指導、組織有關人員對文件的可行性與持續(xù)性進行討論；根據(jù)討論結果我們對文件進行一次集中的修訂，并交付最高管理者審批。

第三階段：ISMS體系文件建立階段

10.確定信息安全管理體系架構：

在組織內部，管理層應當負責決策，而不是IT部門。一個規(guī)范的信息安全管理體系必須明確指出，組織機構董事會和管理層應當負責相關信息安全管理體系的決策，同時，這個體系也應當能夠反映這種決策，并且在運行過程中能夠提供證據(jù)證明其有效性。

這個項目應該由質量管理經理、總經理或者其他負責機構內部重大職能的執(zhí)行主管負責主持。

11.文件編寫：

我們將根據(jù)信息安全管理標準規(guī)范來指導并協(xié)助貴公司人員對信息安全管理文件的編寫過程的討論，制定出適合貴公司的信息安全管理體系。

12．文件評審及發(fā)布：

所有信息安全管理體系文件初稿經討論、修改完畢后，針對文件中所涉及的部門，我們將指導、組織有關人員對文件的可行性進行討論；根據(jù)討論結果我們對文件進行一次集中的修訂，并交付最高管理者審批。

13．ISMS體系宣貫：

我們對貴公司骨干人員培訓，學習信息安全的文件，并進行適當?shù)目己耍浑S著信息安全管理體系的實施，貴公司所有人員自實施之日起必須按文件規(guī)定的方法去執(zhí)行，一開始可能會帶來一些不適應，如果大家都對新程序了如指掌，實施的進度和效果無疑會好得多，所以實施前的學習和培訓是非常關鍵的。

第四階段，ISMS體系運行與完善階段

14．試運行：

一個初建立的管理體系必須通過實際運行進行不斷的完善，才可趨于成熟。運行的過程便是對文件的有效性和可行性的一種檢驗，也是對現(xiàn)行質量活動的指導。我們會用較多的時間幫助貴公司發(fā)現(xiàn)并解決運行中出現(xiàn)的實際問題，幫助貴公司盡快糾正內部質量管理體系審核中發(fā)現(xiàn)的不符合項，指導貴公司進行管理評審，并協(xié)助貴公司落實管理評審、提出糾正措施。需要時可能要修改文件或因實施力度不夠需要高層領導者采取有效的措施。

15．培訓內審員

貴公司所建立的信息安全管理體系，要從內審中逐步發(fā)現(xiàn)問題，使體系逐步趨于完善。我們將為貴公司培訓一批內審員，內審員應具備一定的專業(yè)知識，思維敏捷，精明強干，協(xié)調能力和社交能力強；我們會按照本公司編制的信息安全管理體系內部審核員教程實施培訓，他們便成為企業(yè)信息安全管理體系運行推動的中堅力量。

16.組織第一次內審及改進

在信息安全管理體系運行一個月左右，我們會率先幫助企業(yè)進行第一次內審，在內審時安排貴公司內審員共同進行，以使他們今后能獨立開展內審工作。針對內審發(fā)現(xiàn)的不符合項，開具出書面不符合報告，經確認后分發(fā)至各部門，并呈交貴公司領導。

17.組織第二次內審及改進

以內審員為主、咨詢師為輔再次組織一次內審，而在認證之前，將由貴公司內審小組獨立組織一次內審。今后,貴公司應根據(jù)實際情況，由內審小組做出內審計劃，持續(xù)開展內審工作。

18．組織管理評審：

一個體系運行到一個階段，信息安全管理記錄也累積到了一定程度，為確保認證的通過，我們將組織一次認證前的模擬審核。由于我們認證機構都有密切合作關系，所以，我們將根據(jù)為貴公司提供認證的機構的風格確定審核重點，在審核中提出的不符合項都應即予糾正，避免影響整個取證的進度。

第五階段，認證階段

19．協(xié)助提交認證申請：

若貴公司愿意，我們可幫助企業(yè)提交認證申請，并負責辦理申請、提交信息安全管理文件、幫助確定、安排審核時間；

20．組織現(xiàn)場迎審：

一旦認證時間確定，貴公司所有人員都應緊張投入迎審工作，我們指導貴公司組織一個得力的迎審小組，包括后勤安排禮儀接待．陪審人員；而不符合應急小組也是非常必要的，對于審核員提出的不符合項可以當場糾正的，應急小組一定馬上采取措施，在審核結束前糾正證據(jù)向審核員呈遞，讓審核員相信貴公司信息安全管理體系運行的有效性。

21．通過現(xiàn)場認證審核，獲證：

現(xiàn)場審核時，我們會加入迎審小組，同貴公司一道迎接審核，為貴公司保駕護航。企業(yè)全體人員都應樹立信心，面對審核不緊張。對審核員提出的問題記錄下來，我們共同研究糾正措施，并力爭在最短的時間內糾正。

通過審核后，貴公司將被納入認證機構的認證名錄，被允許使用認證公司的標志制作廣告，并接受認證機構的監(jiān)督審核。

第六階段：體系持續(xù)改進階段

23．標準變更時的培訓服務：

貴公司獲取證書后，ISO27001標準的版本變更時，我們將免費為貴公司提供新版本標準的培訓，并免費幫助修改體系文件直至符合新版標準。

24．提供長期的培訓優(yōu)惠方案：

貴公司獲取證書后，當我公司舉辦對外公開的培訓課程時，將邀請貴公司1－2名管理人員和內審員參與培訓。