这么简单的问题，相信大家都已经知道。是的，信息安全管理体系就是ISO27001，而不是ISO20000哈。很多伙伴会把ISO27001和ISO20000混淆，所以特别提醒大家，ISO20000是IT信息服务管理体系，ISO27001才是信息安全管理体系哈。好啦，进入正题，本文要跟大家分享的是做信息安全管理体系认证需经历的几个阶段!

　　一、项目前期准备阶段

　　目的：充分体现领导作用和全员参与的原则，确保各个层面意识到信息安全管理体系的必要性和管理层的决心

　　二、现场调研诊断

　　目的：了解组织的现状，寻找与ISO27001标准的差距

　　三、人员培训

　　目的：提升各级领导和全员的信息安全意识，使内审员具备相应能力

　　四、整合体系文件架设计

　　目的：策划覆盖各个业务流程的系统的文件化程序。

　　五、确定信息安全方针和目标

　　目的：明确信息安全方针和目标，为信息安全管理体系提供导向。

　　六、建立管理组织机构

　　目的：建立完善的内控组织架构，为整合体系提供支持。

　　七、信息安全风险评估

　　目的：实施风险评估，识别不可接受风险，明确管理目标;

　　八、信息安全管理体系文件编写

　　目的：建立文件化的信息安全管理体系。

　　九、信息安全管理体系记录的设计

　　十、信息安全管理体系文件审核

　　目的：确保ISMS信息安全管理体系文件的系统性、有效性和效率。

　　十一、信息安全体系文件发布实施

　　目的：发布ISMS信息安全管理体系文件，落实管理要求。

　　十二、组织全员进行文件学习

　　目的：确保信息安全管理体系文件要求在各个层级、各个岗位均得到有效的沟通和理解。

　　十三、业务连续性管理

　　目的：确保在任何情况下，核心业务均可保持提供连续提供服务的能力。

　　十四、审核培训及内审

　　目的：实施内部审核，发现信息安全管理体系运行中的不符合，寻找改进的机会。

　　十五、管理体系有效性测量

　　目的：根据量化指标，测量信息安全管理体系的有效性。

　　十六、管理评审

　　目的：将体系运行过程中的成效和问题向管理层汇报，由最高管理者提出改进的要求和资源的支持。

　　十七、认证机构正式审核

　　目的：由第三方权威机构审核信息安全管理体系的有效性。