要经过五个阶段才能建立起有效的ISO27001认证

    根据经验，整个信息安全管理体系建设项目可划分成5个阶段，如果每项内容的活动都能很好地完成，最终就能建立起有效的ISMS，实现信息安全建设总体目标，最终通过ISO27001认证。

    一、调研阶段：对业务范围内所有制度包括内部的管理规定或内控相关规定，对公司目前的管理状况进行系统、全面的了解和分析。通过技术人员人工检查和软件检测等方式对组织内部分关键网络、服务器等设备进行抽样漏洞扫描，并形成《漏洞扫描风险评估报告》。

    二、资产识别与风险评估阶段：针对组织内部人员的实际情况，进行信息安全基础知识的普及和培训工作，让每位员工对信息安全体系建设活动有充分的理解和认识。对内部所有相关信息安全资产进行全面梳理，并且按照ISO27001认证相关的信息资产识别和风险评估的要求，完成《信息资产清单》、《信息资产风险评估表》和《风险评估报告》。

    三、设计策划阶段：通过分组现场讨论、领导访谈等多种方式对各业务部门涉及的信息安全相关内容进行细致研究和讨论。针对现有信息安全问题和潜在信息安全风险建立有效的防范和检查机制，并且形成有持续改进功能的信息安全监督审核管理制度，最终形成严格遵守ISO27001认证审核标准的、符合组织业务发展需要的《信息安全管理体系文件》。体系对文件控制、记录控制、内部审核管理、管理评审、纠正预防措施控制、信息安全交流管理、信息资产管理、人力资源安全管理、物理环境安全、通信与操作管理（包括：笔记本电脑管理、变更管理、补丁管理、第三方服务管理、防范病毒及恶意软件管理、机房管理规定、介质管理规定、软件管理规定、数据备份管理、系统监控管理规定、电子邮件管理规定、设备管理规定）、访问控制、信息系统获取开发和维护、信息安全事件管理、业务持续性控制、符合性相关程序进行全面界定和要求。

    四、实施阶段：项目小组要组织相关资源，依据风险评估结果选择控制措施，为实施有效的风险处理做好计划，管理者需要正式发布ISMS体系并要求开始实施，通过普遍的培训活动来推广执行。ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。在此阶段，应该培训专门人员，建立起内部审查机制，通过内部审计、管理评审和模拟认证，来检查己建立的ISMS是否符合ISO27001标准以及企业规范的要求。

    五、认证阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。