ISO27000认证介绍

目 录

1  概述

2  准备

2.1  确定 ISMS 范围 

2.2  确定信息安全总体方针政策 

2.3  定义风险评估与管理方法 

2.4  项目准备 

3  风险评估 

3.1  现状分析 

3.2  风险评价 

3.3  风险处置 

4  安全体系规划与设计 

4.1  安全体系规划 

4.2  编写安全体系文档 

5  安全体系实施、调整、评审 

5.1  体系实施 

5.2  体系调整 

5.3  体系评审 

1 1 概述

实践证明，按照 BS7799/ISO27000 的要求在组织内部建立并运行信息安全管理体系

（ISMS），强化信息安全管理体系的运行审核和管理评审，不断改进优化组织的信息安全管

理体系，是处理组织信息安全问题有效手段之一。

根据 BS7799/ISO27000 要求，在建立、实施、运行、监控、评审、保持与改进组织 ISMS

时采用 PDCA 的过程模型，即首先依据组织的信息安全总体方针政策，通过对 ISMS 涉及范围

内的所有信息资产进行风险评估，选取合适的安全控制措施，建立包括安全策略、控制程序、

操作指南/手册在内的文件化的信息安全管理体系，然后在组织内部实施并运行 ISMS 信息安

全策略、控制程序及措施，并通过 ISMS 运行监控、内部审计及管理评审，发现 ISMS 存在的

问题及弱点，及时采取适当的纠正或预防措施，实现 ISMS 的持续改进。

信息安全管理体系咨询服务的目的就是根据 ISO27001 标准的要求，采用 PDCA 的过程模

型，通过基于资产的风险评估，帮助客户建立文件化的信息安全管理体系，辅导客户在其组

织范围内实施、运行、评审信息安全管理体系，从而确保客户信息系统的正常运行，提高服

务竞争力，最终促进客户业务的开展。

如上图所示，信息安全管理体系建设咨询服务包括准备、风险评估、安全体系规划与设

计、安全体系实施/调整/评审四个阶段，各个阶段说明如下:

第一阶段：准备

准备阶段主要完成信息安全管理体系建设项目的前期准备工作。包括四个工作任务，分

别是：

1) 确定 ISMS 范围

根据组织业务需要确定 ISMS 涵盖的范围，包括地理位置、部门或信息系统等。

2) 确定信息安全总体方针政策

分析 ISMS 范围内的业务及系统安全需求，确定 ISMS 的总体方针政策。

3) 定义风险评估与管理方法

确定风险评估模型，确定风险评估指标，定义风险评估及管理程序。

4) 项目准备

制定实施计划、成立项目组、整理开发相关工具模板、召开启动会，进行项目背景

知识培训等。

第 二 阶段：风险评估

分析 ISMS 范围内的信息安全现状，针对 ISMS 范围内的所有信息资产，识别并评价其面

临的安全风险，提出对应的控制措施。包括三大工作任务，分别为：

1) 现状分析

通过访谈、检查及测试了解 ISMS 范围内的信息安全现状，形成现状报告，并将获

取的安全现状与 ISO27002 中的安全控制措施进行差距分析。

2) 风险评价

按照确定的风险评估模型，评价现状分析阶段识别的资产、威胁及弱点，确定资产

风险等级。

3) 风险处置

确定风险处置方式，选择安全控制措施，制定风险处置计划，进行残余风险分析。

第 三 阶段： 安全 体系规划与设计

根据差距分析和风险评估结果规划安全体系建设任务，落实本期建设规划。包括两大工

作任务，分别为：

1) 安全体系规划

规划信息安全体系建设项目、任务、计划等。

2) 编写安全体系文档

设计信息安全体系管理文档或技术方案。

第 四 阶段： 安全 体系实施 、调整、评审

落实信息安全管理措施，部署信息安全技术措施，运行信息安全管理体系，改进信息安

全管理体系不足，按照 ISO27001 要求进行信息安全管理体系内部审核和管理评审。包括三

大工作任务，分别为：

1) 体系实施

落实或部署信息安全管理体系的相关管理及技术措施，运行信息安全管理体系。

2) 体系调整

针对实施和运行中存在的问题，对信息安全管理体系进行调整改进。

3) 体系评审

按照 ISO27001 要求进行信息安全管理体系内部审核和管理评审。

2 2 准备 准备

2.1 2.1 确定 确定 S ISMS  范围

根据组织的业务特征、组织结构、地理位置、资产和技术定义 ISMS 范围和边界。

  主要工作任务及内容（活动）

1) 信息安全与业务战略及规划一致性分析

针对组织内部安全状况与组织业务战略及规划一致性的分析，主要从客户、合作方等外

部角度考虑 ISMS 需要涵盖的范围。

2) 信息安全与相关法规/制度符合性分析

针对组织内部安全状况与法律/法规/制度符合性的分析，主要从合规性方面考虑 ISMS

范围需要涵盖的范围。

3) 信息安全与业务运营影响分析

针对组织内部安全状况对业务运营影响的分析，主要从内部风险管理角度考虑 ISMS 需

要涵盖范围

4) 确定 ISMS 范围

根据上述分析结果确定 ISMS 范围（包括涉及的物理位置、业务[流程]、部门、系统等）。

  主要工作方式/ / 方法（工作方式、职责划分、工作方法）

ISMS 范围描述

确定 ISMS 范围

信息安全管理体系是为保障组织信息系统而建立的，而信息系统建设与运行的目标是确

保组织业务目标的实现，因此信息安全管理体系建设的最终目的是确保组织业务目标的实

现。所以确定 ISMS 范围时需要从内部业务需求和外部合规性要求出发，对信息安全与组织

业务发展战略及规划的一致性、信息安全与与相关法规/制度的符合性、信息安全对业务运

营的影响进行综合分析形成与业务目标相一致的 ISMS 范围。

应该对确定的 ISMS 范围进行书面说明（可以放在信息安全管理手册或总体方针文件

中），对 ISMS 涉及的部门，位置、业务以及主要资产（主要信息系统或设备）进行描述。

2.2 2.2 确定 确定 信息安全 总体方针政策

分析 ISMS 范围内的业务及系统安全需求，确定 ISMS 的总体方针政策。

  主要工作任务及内容（活动）

1) 业务及系统初步安全需求分析

根据组织业务及系统特点进行初步安全需求分析，形成总体安全需求。

2) 确定 ISMS 总体方针政策

在初步安全需求分析结果基础上，确定组织信息安全的总体方针政策，包括 ISMS 范围、

总体目标、安全组织结构、安全管理框架、

  主要工作方式/ / 方法（工作方式、职责划分、工作方法）

在进行信息安全管理体系建设前，应该制定组织的信息安全总体方针政策，设定信息安

全的总体目标，明确信息安全管理职责，建立信息安全总体框架，为相关活动指明总的方向

和原则。信息安全总体方针政策是建立、实施、运作、监视、评审、保持并持续信息安全管

理体系的基础，需要获得最高管理者的批准。

制定组织信息安全总体方针政策时可以首先针对组织业务及系统特点进行初步的安全

需求分析，考虑包括业务及法规制度合同要求在内的安全需求，形成安全需求框架。

确定信息安全总体方针政策的过程如下：

确定的信息安全总体方针政策应该文件化，并由最高管理者签发。信息安全总体方针政

策文件需要包含如下内容：

 组织信息安全的定义、总体目标、范围等；

 组织信息安全的重要性（如何保障业务目标实现）；

 管理层承诺与支持；

 信息安全体系框架（如何实现组织信息安全）；

 对组织尤其重要的特殊方针、原则、标准及符合性要求简短说明，如：法律法规要

求、业务持续性管理、教育与培训以及违反策略的后果等；

 信息安全管理组织架构、职责、安全管理方法等；

 引用的支撑策略或管理制度。

2.3 2.3 定义风险评估 定义风险评估 与管理 方法

确定信息安全风险评估模型，定义风险评估程序、建立风险评估指标及风险接受准则。

  主要工作任务及内容（活动）

1) 确定风险评估模型及相关指标准则

定义组织风险评估方法及风险接受准则等。

2) 制定风险评估与管理程序

按照确定的风险评估方法及风险接受准则，形成文件化的风险评估与管理程序。

  主要工作方式/ / 方法（工作方式、职责划分、工作方法）

在确定了 ISMS 的范围和总体方针之后，需要确定一种适合组织的风险评估模型，建立

风险评估指标及风险接受准则。并且需要按照确定的风险评估方法及风险接受准则，形成文

件化的风险评估及管理程序。具体内容包括：

 定义风险评估模型；

 定义资产类别；

 定义威胁类别；

 定义弱点类别；

 定义风险处置方式；

 确定风险接受准则；

 确定风险计算方式；

 各种指标值及描述。

2.4 2.4 项目 项目 准备

按照 ISMS 建设范围及进度要求，制定有关实施计划，组建项目组，落实人员安排，整

理或开发 ISMS 建设所需的表格/工具/模板，召开启动会，并按照实际需要对相关人员进行

项目背景知识培训，完成 ISMS 建设项目的前期准备工作。

  主要工作任务及内容（活动）

1) 制定实施计划

制定项目实施计划，主要是下一阶段的风险评估计划。

2) 组建项目组

落实项目人员安排及其职责。

3) 整理开发工具/模板

开发或定制各种表格、工具及模板，包括各种问卷，表格，检查及测试程序与模板等。

4) 项目启动会

正式启动项目。

5) 培训

按照需要进行项目背景知识培训，包括 BS7799/ISO27000 知识培训，项目实施过程/方

法/工具培训等。

  主要工作方式/ / 方法（工作方式、职责划分、工作方法）

项目准备主要包括制定项目（下一阶段）实施计划，组建项目组，整理开发工具模板，

召开启动会，实施项目培训等。

项目准备过程如下：

开发整理工具/模板是项目准备阶段最重要的工作任务之一，ISMS 建设的工具模板包

括：

1) 1) 调查问卷 调查问卷

调查问卷是为了大范围收集了解情况（所谓全面撒网）而由甲方相关人员填写由咨询人

员收集分析的问卷表，由于问卷调查可以在大范围并行开展，因此可以节约信息收集时间。

但调查问卷获取信息的可靠性较差，因此问卷涉及的调查内容应该包括在面对面访谈中。

ISMS 建设调查问卷包括：

 威胁调查问卷

用于收集了解体系建设范围内信息安全威胁及事件的相关信息。

 信息安全管理调查问卷

初步了解体系建设范围内信息安全管理的相关情况，同时了解调查被调查人员关于

信息安全管理的意识以及关于 ISMS 体系建设迫切需要解决的问题。

2) 2) 现场访谈表 现场访谈表

现场访谈表是由咨询人员使用的用于面对面访谈甲方相关人员的工作表格。现场访谈表

主要用于收集体系建设范围内组织及 IT 系统的基本信息和安全状况。

ISMS 建设现场访谈表包括：

 IT 组织情况调查表

主要调查体系建设范围内 IT 组织的基本情况。

 信息系统调查表（系列）

主要调查体系建设范围内信息系统的基本情况，包括物理、网络、主机、数据库以

及应用系统的部署使用、安全措施等。

 安全管理访谈表

按照 BS7799-1 或者 ISO27002 要求，进行安全管理措施及弱点访谈。



4) 形成项目执行决议

项目背景知识培训主要涉及 BS7799/ISO27000 知识培训，项目实施过程/方法/工具培训

等。可以在培训后根据甲方的意愿进行培训考试。

3 3 风险评估 风险评估

3.1 3.1 现状分析 现状分析

通过问卷调查、访谈、检查及测试等多种方式尽可能多的收集信息系统及安全管理相关

信息，对收集到的信息进行综合分析和整理，形成差距分析报告和现状报告。

  主要工作任务及内容（活动）

1) 问卷调查

对 ISMS 范围内的相关人员进行问卷调查，了解组织人员的安全管理意识、组织面临的

主要威胁情况以及发生的主要安全事件。

2) 现场访谈

面对面访谈信息系统架构、部署以及安全弱点、管理及技术措施等。

3) 手工检测

人工检查或测试系统的安全管理落实情况。

4) 安全扫描

使用自动化工具进行网络、操作系统、数据库或应用系统扫描。

5) 渗透测试

对网络、操作系统、数据库或应用系统实施渗透测试，可选。

6) 综合分析

对问卷调查、现场访谈、手工检测、安全扫描收集的信息进行综合分析。

7) 撰写报告

撰写差距分析报告和现状报告。

  主要工作方式/ / 方法（工作方式、职责划分、工作方法）

现状分析的目的是收集信息系统及安全管理的相关信息，所采用的手段包括：问卷调查、

现场访谈、检查与测试等，在进行现状分析前需要准备完成相关的现状调研及分析工具模板。

具体包括：

 调查问卷

 现场访谈表

 人工检测表

 自动扫描工具等

其中调查问卷需要根据 ISMS 范围内的人员岗位分别定制，现场访谈表、人工检测表需

要根据网络及系统平台类别分别定制。

各种主要手段功用及工作底稿描述如下：

 问卷调查主要用于信息安全管理意识、安全威胁及相关安全事件了解。问卷调查的

工作底稿主要是问卷答卷。

 现场访谈主要了解物理、网络、操作系统、数据库系统、应用系统的基本信息以及

其安全管理设计情况。现场访谈工作底稿包括：访谈计划、访谈结果记录等。

 人工检测表主要用于核查安全管理的落实情况，检查或测试各类网络设备、操作系

统、数据库系统、应用系统的安全实现情况。工作底稿主要是检测结果记录。

 自动扫描主要用于对网络设备、操作系统、数据库系统或应用系统的进行自动化扫

描。工作底稿包括：扫描计划、扫描原始记录、扫描报告等。

 渗透测试主要对网络设备、操作系统、数据库系统或应用系统的实施渗透。工作底

稿包括：渗透测试计划、渗透测试记录、渗透测试报告等。

3.2 3.2 风险评价 风险评价

依据确定的风险评估模型与方法，对现状分析阶段识别出的资产、威胁、弱点以及由此

而形成的资产综合风险进行分析评价，形成风险评估报告。

  主要工作任务及内容（活动）

1) 资产评价

评估资产价值。

2) 威胁评价

评估威胁发生可能性。

3) 弱点评价

评估弱点严重程度。

4) 风险评价

综合资产评价、威胁评价、弱点评价结果评估资产面临的风险。

5) 风险评估报告

形成风险评估报告。

  主要工作方式/ / 方法（工作方式、职责划分、工作方法）

风险评价充分利用了现状分析阶段收集的资产、威胁、弱点以及安全控制的相关信息，

按照确定风险评估模型及方法，评估资产面临的风险。

3.3 3.3 风险处置 风险处置

根据风险处置标准，确定风险处置方式。对于那些需要控制的风险，需要选择安全控制

措施，制定风险处置计划，进行残余风险分析。

  主要工作任务及内容（活动）

1) 选择风险处置方式

根据确定的风险接受准则，选择风险处置方式，如：接受、控制、转移、规避等。

2) 选择安全控制措施

对于确定为控制的风险，选择 ISO27002 中的或其它的安全控制措施。

3) 制定风险处置计划

对确定为控制的风险，制定相应的风险处理计划，包括任务、人员、时间安排

4) 残余风险分析

分析控制实施后的残余风险。

  主要工作方式/ / 方法（工作方式、职责划分、工作方法）

风险处置方法一般包括风险接受、风险控制、风险转移、风险规避四种。

 风险接受：包括低于一定的风险水平本身就可接受的风险，或者那些不可避免，而

且技术上、资源上不可能采取对策来降低，或者降低对组织来说不经济的风险。

 风险控制：采用适当的控制以降低风险：包括降低安全事件发生的可能性或者降低

安全事件影响两个方面，这时风险处置的重点。

 风险转移：将风险和其他的利益方分担，避免自己承担全部损失。例如保险和其他

的风险分担合同。

 风险规避：通过避免开展某项业务、活动或使用某项不成熟的产品技术等来回避可

联系人：
性别：	男 女
课程名称：	请选择课程 危化品安全管理 GD&T-美国/欧洲几何尺寸和公差高级培训 销售心理学与客户沟通技巧 TTT-高级培训师全能培训 贸易合同条款/贸易术语/关务合规和进出口实操重点 压力与情绪管理 人力资源如何成业务部门的合作伙伴HRBP 客户投诉处理及应对技巧 战略采购管理制定与供应市场开发-高级采购管理 制造过程审核 制造业新产品导入-NPI实务特训 ISO 9001:2015质量管理体系 标准理解、实施及内部审核员培训 8D质量问题解决 DOE 实验设计实战应用 大客户顾问式销售与谈判技巧 TQM-全面质量管理 6Sigma准绿带培训 （六西格玛基本方法及工具应用） IATF 16949:2016 汽车业质量管理体系标准理解、 实施及内部审核员培训 向华为学管理：研发项目管理工具与模板 完美合同-采购及销售人员必备合同法律知识&风险防控 ISO 9001:2015 & ISO 14001:2015 & OHSAS 18001:2007三标管理体系标准理解、实施及内审员培训 生产准备流程与产品制造成本分析 现代管理者沟通影响力与领导力提升 ISO 9001:2015质量管理体系 标准理解、实施及内部审核员培训 制造过程审核 精益生产全景式实战模拟及工具运用 许盛华培训经理训练营独家课程--互联网+时代培训体系建立及工具运用-赠送培训系统软件 ISO 14001:2015&ISO 9001:2015管理体系标准理解、实施及内审员培训 精细化的工厂设备维护管理 IATF 16949:2016 汽车业质量管理体系标准理解、 实施及内部审核员培训 现场质量管理与突破性快速改善（问题分析与解决） ISO 9001:2015质量管理体系 标准理解、实施及内部审核员培训 让供应商和我们一起成长 -供应商开发、选择、考核与关系管理 EHS专业能力提高班（机械/电气/上锁挂牌/承包商管理） PMC-制造业生产计划与物料控制 供应链库存优化与需求管理 抽样检验与品质保证 新旧QC七大工具（十四个质量工具） SPC&MSA ISO 9001:2015 & ISO 14001:2015 & OHSAS 18001:2007三标管理体系标准理解、实施及内审员培训 多品种小批量下的生产计划与排程管理 FMEA&APQP&PPAP 如何开展TPM全员自主维护活动 ISO 9001:2015质量管理体系 标准理解、实施及内部审核员培训 ISO 14001:2015&ISO 9001:2015管理体系标准理解、实施及内审员培训 程晓华独家课程-制造业库存控制技术与策略 （赠送签名书） EHS专员全面技能提升（环境/健康/零事故安全生产） IATF 16949:2016 汽车业质量管理体系标准理解、 实施及内部审核员培训 SQE-供应商质量管理高级研修班 SQE-供应商质量管理高级研修班 采购成本分析、削减与谈判技巧 供应链及采购管理人员必备的财税知识 优秀仓管员全能实战训练 现场精细化管理改善与提升 供应链中的包装设计与管理 Excel在企业管理中的运用 ISO 9001:2015质量管理体系 标准理解、实施及内部审核员培训 IATF 16949:2016 汽车业质量管理体系标准理解、 实施及内部审核员培训 制造型企业物流与供应链管理 IATF 16949:2016 汽车业质量管理体系标准理解、 实施及内部审核员培训 演示之道-PPT商务/设计应用 防错防呆技术及其最新技术 防错防呆技术及其最新技术 QCC品管圈操作实务 项目思维与关键性管理能力提升（沙盘） 用数据说话-基于企业实践的MINITAB软件应用 精益遇上工业4.0--智能化工厂 项目经理的五图二表实战落地两天一夜（刘毛华经典课程） 采购人员综合能力提升 构建基于业务及其风险的质量体系 6sigma绿带(2+2+2+2) 6sigma绿带(2+2+2+2) 6sigma绿带(2+2+2+2) 6sigma绿带(2+2+2+2) 精益工厂系统导入与推行（实战模拟） 精益工厂系统导入与推行（实战模拟） 现场精细化管理改善与提升 产品质量责任、召回及其法律风险 5s目视管理推行实战（推行篇） 产品审核
公司名称：
公司简介：
职务：	董事长（总裁） 总经理 副总 总监（协理、处长） 经理 课长 组长 专员 一般员工 其它 人资主管
手机号：
电子邮箱：
邮寄地址：
邮政编码：
参课程人数：
验证码：	点击图片刷新