湖南ISO27001認(rèn)證咨詢(xún)體系建設(shè)分為四個(gè)階段：實(shí)施安全風(fēng)險(xiǎn)評(píng)估、規(guī)劃體系建設(shè)方案、建立信息安全管理體系、體系運(yùn)行及改進(jìn)。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求，即有效地保護(hù)企業(yè)信息系統(tǒng)的安全，確保信息安全的持續(xù)發(fā)展。

1、統(tǒng)一認(rèn)識(shí)，組織落實(shí) ?建立實(shí)施ISO27001信息安全管理體系必須改變傳統(tǒng)的管理思維。管理體系應(yīng)該是從上而下進(jìn)行發(fā)動(dòng)，再?gòu)南露线M(jìn)行運(yùn)作而向前推動(dòng)的。首先是上級(jí)領(lǐng)導(dǎo)要對(duì)體系認(rèn)證咨詢(xún)工作給予足夠的重視。??然后，各部門(mén)進(jìn)行實(shí)施。通過(guò)干部會(huì)議、會(huì)員會(huì)議舉辦講座等形式，向全體員工灌輸體系的思想，同時(shí)，分公司成立ISO27001信息安全管理體系推行工作領(lǐng)導(dǎo)小組，設(shè)立ISO27001信息安全管理體系管理機(jī)構(gòu)，分公司相關(guān)處室及相關(guān)二級(jí)單位要指定管理負(fù)責(zé)人和管理員，可以保證貫標(biāo)過(guò)程的組織領(lǐng)導(dǎo)。???? ?
2、加強(qiáng)培訓(xùn)工作，為體系的推行打下基礎(chǔ) ?ISO27001信息安全管理體系是一套自成體系的管理理論，要使體系的建立和運(yùn)行取得較好的含金量，對(duì)ISO27001信息安全管理體系的學(xué)習(xí)和領(lǐng)會(huì)尤其重要，各部門(mén)的領(lǐng)導(dǎo)和業(yè)務(wù)管理骨干都要投身于ISO27001信息安全管理體系知識(shí)的培訓(xùn)和學(xué)習(xí)中，提高他們有關(guān)管理體系管理理論方面的水平，為以后體系的建立和推行打下基礎(chǔ)。???? ?
3、轉(zhuǎn)化標(biāo)準(zhǔn)、分解職能 ?ISO27001信息安全管理體系是通用性標(biāo)準(zhǔn)，要推行ISO27001信息安全管理體系，還必須把國(guó)際標(biāo)準(zhǔn)與分公司的活動(dòng)對(duì)照結(jié)合，把標(biāo)準(zhǔn)的條款轉(zhuǎn)化成本企業(yè)具體的業(yè)務(wù)和管理要求。??在咨詢(xún)公司的協(xié)助下，分公司努力尋找在生產(chǎn)及售后服務(wù)全過(guò)程中導(dǎo)入ISO27001信息安全管理體系理論和方法的最佳結(jié)合點(diǎn)，將ISO27001信息安全管理體系的各個(gè)要素與分公司生產(chǎn)的運(yùn)行和管理活動(dòng)一一對(duì)應(yīng)起來(lái)，同時(shí)確定方針和目標(biāo)，并圍繞著方針和目標(biāo)，通過(guò)職責(zé)分解，使所有活動(dòng)都要符合標(biāo)準(zhǔn)化、規(guī)范化、程序化的要求，自始至終處于受控狀態(tài)，使每一個(gè)職能系統(tǒng)、每一個(gè)管理環(huán)節(jié)、每一個(gè)操作過(guò)程都處在相互制約、相互促進(jìn)的有機(jī)聯(lián)系之中，以達(dá)到控制的目的。???? ?
4、編寫(xiě)體系iso三體系認(rèn)證 ?在轉(zhuǎn)化標(biāo)準(zhǔn)、全面分析、診斷管理現(xiàn)狀的基礎(chǔ)上，按照體系的管理要求，對(duì)原有的iso三體系認(rèn)證進(jìn)行清理，廢止不適用的iso三體系認(rèn)證，并按照系統(tǒng)、完整、嚴(yán)密的總體原則，重新編寫(xiě)體系iso三體系認(rèn)證，體系iso三體系認(rèn)證應(yīng)體現(xiàn)出活動(dòng)的五個(gè)“W”（做什么，由誰(shuí)做，何時(shí)做，何地做，為什么做）和一個(gè)“H”（怎么做）的要求，使ISO27001信息安全管理體系的先進(jìn)性貫穿于全體員工的本職工作中。????為確保體系iso三體系認(rèn)證的符合性，在編寫(xiě)體系iso三體系認(rèn)證時(shí)，注意征求咨詢(xún)公司、管理層和操作層的意見(jiàn)，同時(shí)通過(guò)多種途徑，驗(yàn)證體系iso三體系認(rèn)證的可操作性，例如分階段、分層次、分專(zhuān)題召開(kāi)體系iso三體系認(rèn)證評(píng)審會(huì)議。??一套兼容性、可操作性、適用性強(qiáng)的體系iso三體系認(rèn)證是體系有效建立和運(yùn)行的堅(jiān)實(shí)基礎(chǔ)。 ?
5、督促檢查體系運(yùn)行 ?把符合ISO27001信息安全管理體系要求的體系iso三體系認(rèn)證在業(yè)務(wù)和管理全過(guò)程予以實(shí)施，是體系運(yùn)行中比較關(guān)鍵的階段。????為督促體系按計(jì)劃和要求進(jìn)行，主要有三個(gè)方面的措施：首先是組織管理骨干和業(yè)務(wù)骨干到下級(jí)機(jī)構(gòu)開(kāi)展督促和輔導(dǎo)，對(duì)所發(fā)現(xiàn)的問(wèn)題加以妥善解決或及時(shí)反饋給領(lǐng)導(dǎo)和職能部門(mén)，其次，由分公司系統(tǒng)監(jiān)督部門(mén)通過(guò)審核方式檢查體系實(shí)施情況，驗(yàn)證各層次、各環(huán)節(jié)活動(dòng)是否符合體系iso三體系認(rèn)證的要求，并把發(fā)現(xiàn)的問(wèn)題通報(bào)分公司，責(zé)成有關(guān)單位進(jìn)行整改，改善局部系統(tǒng)和運(yùn)行情況。????第三，要建立自下而上、層層實(shí)施的體系運(yùn)行考評(píng)機(jī)制，將體系運(yùn)行要求變成硬約束而融入日常工作中，對(duì)各單位體系運(yùn)行情況的考評(píng)納入考核標(biāo)準(zhǔn)體系，作為工作業(yè)績(jī)考評(píng)的重要內(nèi)容之一，從而激勵(lì)全體員工在運(yùn)行體系過(guò)程上的積極性，保證管理體系運(yùn)行的有效性。???? ?
6、提交外部審核認(rèn)證咨詢(xún) ?根據(jù)體系試運(yùn)行情況，經(jīng)過(guò)分公司總經(jīng)理批準(zhǔn)，對(duì)體系運(yùn)行成熟的分析，可以考慮提交外部審核機(jī)構(gòu)審核認(rèn)證咨詢(xún)申請(qǐng)，認(rèn)證咨詢(xún)審核通過(guò)后，分公司還要定期接受外部審核機(jī)構(gòu)的監(jiān)督審核和復(fù)審，這樣，通過(guò)內(nèi)外部的監(jiān)督力量，可以使分公司建立的管理體系不斷得到改進(jìn)和提高。

1、按照ISO27001標(biāo)準(zhǔn)要求建立體系框架；
2、體系建立后，需要運(yùn)行一段時(shí)間，最少三個(gè)月，產(chǎn)生三個(gè)月的運(yùn)行記錄；
3、向...

1、按照ISO27001標(biāo)準(zhǔn)要求建立體系框架；
2、體系建立后，需要運(yùn)行一段時(shí)間，最少三個(gè)月，產(chǎn)生三個(gè)月的運(yùn)行記錄；
3、向...

ISO9000/ISO9001實(shí)際操作就是： 1建立體系，確保體系的實(shí)用性。 2運(yùn)行體系，確保運(yùn)行的符合性和有效性 3持續(xù)改進(jìn)，通過(guò)稽核，發(fā)現(xiàn)改進(jìn)機(jī)會(huì)，改進(jìn)提高。

申請(qǐng)ISO27001認(rèn)證咨詢(xún)的基本條件
1、中單位業(yè)持有工商行政管理部門(mén)頒發(fā)的《企業(yè)法人》、《生產(chǎn)許可證》或等效iso三體系認(rèn)證；外單位業(yè)持有關(guān)機(jī)構(gòu)的登記申報(bào)證明。
2、申請(qǐng)方的信息安全管理體系已按ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求建立，并實(shí)施運(yùn)行3個(gè)月以上。
3、至少完成一次內(nèi)部審核，并進(jìn)行了管理評(píng)審。
4、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門(mén)行政處罰。 申請(qǐng)ISO27001認(rèn)證咨詢(xún)應(yīng)提交的iso三體系認(rèn)證及材料
1、組織法律證明iso三體系認(rèn)證，如及年檢證明復(fù)印件（蓋AAA企業(yè)信用認(rèn)證）；
2、組織機(jī)構(gòu)代碼證書(shū)復(fù)印件、登記證復(fù)印件（蓋AAA企業(yè)信用認(rèn)證）；
3、申請(qǐng)認(rèn)證咨詢(xún)組織的信息安全管理體系有效運(yùn)行的證明iso三體系認(rèn)證（如體系iso三體系認(rèn)證發(fā)布控制表，有時(shí)間標(biāo)記的記錄等復(fù)印件）；
4、申請(qǐng)組織的簡(jiǎn)介：
4.
1、組織簡(jiǎn)介（1000字左右）；
4.
2、申請(qǐng)組織的主要業(yè)務(wù)流程；
4.
3、組織機(jī)構(gòu)圖或職能表述iso三體系認(rèn)證；
5、申請(qǐng)組織的體系iso三體系認(rèn)證，需包含但不僅限于（可以合并）：
5.
1、信息安全管理體系ISMS方針iso三體系認(rèn)證；
5.
2、風(fēng)險(xiǎn)評(píng)估程序；
5.
3、適用性聲明；
5.
4、風(fēng)險(xiǎn)處理程序；
5.
5、iso三體系認(rèn)證控制程序；
5.
6、記錄控制程序；
5.
7、內(nèi)部審核程序；
5.
8、管理評(píng)審程序；
5.
9、糾正措施與預(yù)防措施程序；
5.
10、控制措施有效性的測(cè)量程序；
5.1
1、職能角色分配表；
5.1
2、整個(gè)體系iso三體系認(rèn)證結(jié)構(gòu)與清單。
6、申請(qǐng)組織體系iso三體系認(rèn)證與GB/T22080-2008/ISO/IEC 27001:2005要求的iso三體系認(rèn)證對(duì)照說(shuō)明；
7、申請(qǐng)組織內(nèi)部審核和管理評(píng)審的證明資料；
8、申請(qǐng)組織記錄保密性或敏感性聲明；
9、認(rèn)證咨詢(xún)機(jī)構(gòu)要求申請(qǐng)組織提交的其他補(bǔ)充資料。

申請(qǐng)ISO27001認(rèn)證咨詢(xún)的基本條件
1、中單位業(yè)持有工商行政管理部門(mén)頒發(fā)的《企業(yè)法人》、《生產(chǎn)許可證》或等效iso三體系認(rèn)證；外單位業(yè)持有關(guān)機(jī)構(gòu)的登記申報(bào)證明。
2、申請(qǐng)方的信息安全管理體系已按ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求建立，并實(shí)施運(yùn)行3個(gè)月以上。
3、至少完成一次內(nèi)部審核，并進(jìn)行了管理評(píng)審。
4、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門(mén)行政處罰。 申請(qǐng)ISO27001認(rèn)證咨詢(xún)應(yīng)提交的iso三體系認(rèn)證及材料
1、組織法律證明iso三體系認(rèn)證，如及年檢證明復(fù)印件（蓋AAA企業(yè)信用認(rèn)證）；
2、組織機(jī)構(gòu)代碼證書(shū)復(fù)印件、登記證復(fù)印件（蓋AAA企業(yè)信用認(rèn)證）；
3、申請(qǐng)認(rèn)證咨詢(xún)組織的信息安全管理體系有效運(yùn)行的證明iso三體系認(rèn)證（如體系iso三體系認(rèn)證發(fā)布控制表，有時(shí)間標(biāo)記的記錄等復(fù)印件）；
4、申請(qǐng)組織的簡(jiǎn)介：
4.
1、組織簡(jiǎn)介（1000字左右）；
4.
2、申請(qǐng)組織的主要業(yè)務(wù)流程；
4.
3、組織機(jī)構(gòu)圖或職能表述iso三體系認(rèn)證；
5、申請(qǐng)組織的體系iso三體系認(rèn)證，需包含但不僅限于（可以合并）：
5.
1、信息安全管理體系ISMS方針iso三體系認(rèn)證；
5.
2、風(fēng)險(xiǎn)評(píng)估程序；
5.
3、適用性聲明；
5.
4、風(fēng)險(xiǎn)處理程序；
5.
5、iso三體系認(rèn)證控制程序；
5.
6、記錄控制程序；
5.
7、內(nèi)部審核程序；
5.
8、管理評(píng)審程序；
5.
9、糾正措施與預(yù)防措施程序；
5.
10、控制措施有效性的測(cè)量程序；
5.1
1、職能角色分配表；
5.1
2、整個(gè)體系iso三體系認(rèn)證結(jié)構(gòu)與清單。
6、申請(qǐng)組織體系iso三體系認(rèn)證與GB/T22080-2008/ISO/IEC 27001:2005要求的iso三體系認(rèn)證對(duì)照說(shuō)明；
7、申請(qǐng)組織內(nèi)部審核和管理評(píng)審的證明資料；
8、申請(qǐng)組織記錄保密性或敏感性聲明；
9、認(rèn)證咨詢(xún)機(jī)構(gòu)要求申請(qǐng)組織提交的其他補(bǔ)充資料。

是ISO寫(xiě)我所說(shuō)，做我所寫(xiě)精神

也就是

iso三體系認(rèn)證寫(xiě)的就是你想說(shuō)，你已經(jīng)說(shuō)過(guò)，和你正在說(shuō)的

實(shí)際操作和iso三體系認(rèn)證寫(xiě)的也是一致的

品質(zhì)稽核側(cè)重點(diǎn)是iso三體系認(rèn)證質(zhì)量管理

體系稽核側(cè)重點(diǎn)是體系運(yùn)行情況

是iso寫(xiě)我所說(shuō)，做我所寫(xiě)精神 也就是 iso三體系認(rèn)證寫(xiě)的就是你想說(shuō)，你已經(jīng)說(shuō)過(guò)，和你正在說(shuō)的 實(shí)際操作和iso三體系認(rèn)證寫(xiě)的也是一致的 品質(zhì)稽核側(cè)重點(diǎn)是iso三體系認(rèn)證質(zhì)量管理 體系稽核側(cè)重點(diǎn)是體系運(yùn)行情況

是公司內(nèi)部的吧，

主要是做稽核公司內(nèi)部整個(gè)體系運(yùn)行的狀況及公司整個(gè)體系設(shè)置是否合理等相關(guān)方面。