ISO27001认证作为一个信息安全管理标准适用于所有规模的企业。大到上千人的企业，小到几个人的企业都可以实施ISO27001。在中国大部分IT企业都是中小企业，信息是企业的重要资产。但是很多企业的信息安全意识不强，信息安全管理制度不健全，经常发生重要信息泄露、关键数据丢失或遭破坏等严重信息安全事件，给企业造成严重损失。因此中小IT企业也急迫需要引入业界这方面的认证来规范企业的信息安全管理。

ISO27001认证如何开展？每个企业的特点和实际情况都不尽相同，在建立和完善ISO27001信息安全管理体系也应当根据企业自身的情况来调整方法和步骤。但总的来说，建立ISO27001信息安全管理体系的过程可以总结为4个重要步骤：ISO27001体系策划和准备阶段，体系文件编制，体系运行，体系评审阶段。

详细的ISO27001认证步骤如下表：

1、现场诊断

2、明确ISO27001的方针、目标

3、根据企业的自身特性，明确ISO27001的范围

4、ISO27001基本知识培训

5、ISO27001体系内部审核员培训

6、对企业信息资产进行风险评估和分类，确定风险程度

7、实施风险管理，确定风险控制手段

8、制定信息安全管理手册和各类必要的控制程序;

9、制定适用性声明

10、 制定商业可持续性发展计划

11、审核文件、发布实施

12、体系运行，有效的实施选定的控制目标和控制方式

13、内部审核

14、外部一阶段认证审核

15、外部二阶段认证审核

16、颁发证书

17、体系持续运行/年度监督审核

18、复评审核(证书三年有效)

我们所处的是一个信息化时代，如何保证信息的安全，如何防止商业信息的泄露，已经成为企业急需解决的问题，而ISO27001信息安全管理体系给出了回答，开展ISO27001认证，需要全体人员的参与和配合。

如果您有ISO27001认证方面的问题，欢迎咨询我们150--3403--9810。