企业初次做ISO27000认证要做什么准备？

　　ISO27001认证是对信息安全管理系统的认证，可以有效地保证企业在信息安全领域的可靠性，降低企业泄露风险，更好地保存核心数据。

　　每一个企业或组织都需要信息安全，因此信息安全管理系统认证具有普遍适用性，不受地域、规模的限制。根据当前认证企业的情况，电信、保险、银行、数据处理中心设计了更多的IC软件外包等制造业。

　　越来越多的企业申请ISO27001来提升自己的企业形象和竞争力，但大多数企业并不清楚ISO27001认证流程的认证流程。首次申请ISO27001认证需要做一些准备，了解流程。

　　在审核之前需要准备的材料有：

　　1、公司简介

　　公司营业执照

　　其它相关行业的许可资格(如系统集成资格、增值电信许可资格、软件作权、专利、商标许可等)

　　公司网络拓扑图

　　组织结构图(主要人员姓名、所属单位、职位)

　　6、公司拥有IT硬件、办公电脑软件清单、网络设备/服务器设备清单

　　7、企业现有IT管理系统的各个方面

　　ISO27001审核流程复杂，ISO27001认证申请复杂，ISO27001系统文件必须运行3个月以上，经内部审核和管理审核后才能提交给审核员。具体审核程序如下：

　　1、现状调研

　　相关人员通过培训对信息安全管理的基本知识有了全面的了解，从日常运维、管理机制、系统配置信息安全管理等方面进行了全面的了解。

　　项目启动：前期沟通，实施计划，项目组，资源支持，启动会议

　　前期培训：信息安全管理基础，风险评估方法

　　现状评估：初步了解信息安全现状，分析与ISO27001标准要求的差距。

　　业务分析：面试调查，核心和支持任务，资源需求，业务影响力分析

　　2、风险评估

　　选择合适的措施和方法，实现信息资产的资产价值、威胁因素和脆弱性、信息安全风险的风险管理。

　　(1)资产识别：各类信息资产

　　风险评估：重要资产、威胁、弱点、风险识别与评估

　　3、管理策划

　　信息安全风险规划，制定相关信息安全总体规划、管理规划和技术规划，形成完整的信息安全管理体系

　　(1)文件编写：IS各级管理文件REVIEW与修订、管理讨论与确认

　　二是发布实施：IS实施计划，发布系统文件，实施控制措施

　　中期培训：全员安全意识培训，IS实施推广培训，必要的考核

　　4、体系实施

　　IS建立(系统文件正式发布实施)后，应通过一定时间的试运行来检验其有效性和稳定性。

　　认证申请：与认证机构协商，准备材料申请认证，制定认证计划。

　　(2)后期培训：专业技能培训，如审核员等角色。

　　内部审计：审计计划，Checklist，内部审查不符合项目整改

　　管理评估：组织信息安全管理**IS整体评估，纠正预防措施

　　5、认证审核

　　经过一段时间的运行，各种IS文件和记录在稳定状态下完成，此时可以提交认证。

　　认证准备工作：准备审核文件，部署审核事项。

　　协助认证：内部审计小组协助处理审计问题