南京企業辦理27001信息安全管理體系認證的具體審核流程有哪些？

27001信息安全管理體系（Information Security Management System，簡稱為ISMS）是1998年前后從英國發展起來的信息安全領域中的一個新概念，是管理體系（Management System，MS）思想和方法在信息安全領域的應用。近年來，伴隨著ISMS國際標準的制修訂，ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。那么27001 具體審核流程有哪些呢？

  一、現狀研究

  從日常運維、管理機制、系統配置等方面調查貴公司信息安全管理的安全狀況，通過培訓使貴公司相關人員全面了解信息安全管理的基本知識。 包括：

  (1) 項目啟動：初步溝通、實施計劃、項目團隊、資源支持、啟動會議。

  (2) 初步培訓：信息安全管理基礎、風險評估方法。

  (3)現狀評估：初步了解信息安全現狀，分析與ISO27001標準要求的差距。

  (4) 業務分析：訪談和調查、核心和支持業務、業務資源需求、業務影響分析。

  2. 風險評估

  對貴公司的信息資產進行資產價值、威脅因素、脆弱性分析，以評估貴公司的信息安全風險，選擇適當的措施和方法來達到管理風險的目的。

  (1)資產識別：識別貴公司的各種信息資產。

  (2) 風險評估：識別和評估重要資產、威脅、弱點和風險。

  3、管理規劃

  根據貴公司的信息安全風險戰略，制定相應的信息安全總體規劃、管理規劃、技術規劃等，形成完整的信息安全管理體系。

  （1）文件準備：準備各級ISMS管理文件，審核修改，并與管理層討論確認。

  （2）發布與實施：ISMS實施計劃、體系文件發布、控制措施實施。

  （3）中期培訓：全員安全意識培訓、ISMS實施推進培訓、必要考核。

  ISO27001體系認證

  四、系統實現

  ISMS建立后（系統文件正式發布實施），必須通過一定時期的試運行檢驗其有效性和穩定性。

  （1）認證申請：與認證機構協商，準備認證材料，制定認證計劃，預審核。

  （2）崗位培訓：對審核員等崗位進行專業技能培訓。

  （3）內部審核：審核計劃、檢查表、內部審核、不符合項整改

  （4）管理評審：信息安全管理委員會組織對ISMS的糾正和預防措施進行全面評審。

  5、認證審核

  經過一段時間的運行，ISMS 已達到穩定狀態，并建立了各種文件和記錄。 這時候就可以提交認證了。

  （1）認證準備：準備審核文件，安排審核項目部署。

  （2）協助認證：內部審核組陪同并協助處理審核問題。