ISO27001标准体系建设与认证咨询
ISO27001是国际权威的信息安全标准，其为各类组织建立并运行信息安全管理体系（ISMS）提供了实践的指引。

ISO27000是一个标准族，主要有两个部分，部分是ISO/IEC 27001:2005（即国标GB/T22080），作为认证审核标准，其详细说明了建立、实施和维护ISMS的要求，可用来指导相关人员应用信息安全实践以建立适合企业需要的ISMS。第二部分是ISO/IEC 27002:2007（即GB/T22081），作为信息安全管理实施细则即实践，其将信息安全分为11个控制领域，定义了39项控制目标和133项安全控制。

ISO27001之所以被广泛用于企业信息安全管理体系建设，在于其几个突出的特点：1）整体性，即采用体系化思想进行信息安全建设，确保不会就事论事；2）全面性，十一个领域实践，确保不会发生短板；3）层次性，从方针策略到操作规程，体现逐层落实原则；4）渐进性，建立PDCA机制，确保可持续发展。
以ISO27001标准为指引建立ISMS并通过认证，可以极大地促进企业信息安全以及信息化建设的健康全面发展，满足客户及合作伙伴的信任需求，也能很好地迎合法律法规及行业监管在内的各类合规要求。

领会标准精髓，把握企业特点，梵禅信息为此提供针对企业ISMS建设及ISO27001标准认证的专业咨询服务。

典型的ISO27001标准体系建设项目，通常经历四个大的阶段：现状调研和风险评估，体系设计和整体实现；体系发布和运行改进；认证审核和证书获取。具体包括以下活动：
 现状调研及差距分析：摸底调研，分析问题，比对ISO27001标准寻找差距；实施信息安全意识调研，了解员工想法。
 风险评估及风险处置：全面系统地梳理信息资产，确定其CIA属性；针对信息资产识别并评价威胁、弱点和风险；对不可接受风险，实施初步的风险处置决策。
 设立信息安全组织：建立层次化的信息安全管理组织，界定决策、管理与监督、执行等不同职能，明确包括信息安全管理委员会、安全主管、部门负责人和部门安全员各自的职责要求。
 构建信息安全管理文件体系：设计层次架构（4级），定义命名规则，梳理现有文件，从风险评估结果出发并结合合规及业务要求，责任落实到部门，建立全面的制度文件体系并发布。
体系推广与落实：风险处置计划需要落实，体系文件发布需要告知，梳理并明确运行记录要求，编制并发放员工手册，通过各种途径进行宣传推广，关键是要持续形成影响。
监督检查与评价：实施监督检查、有效度量、内部审核和管理评审，并做持续改进。
认证审核：进行认证准备，接受两阶段的认证审核，最终确保获得ISO27001证书。
对一般企业（集中工作场所，简单业务模式，规模并不庞大，管理相对简单）来说，从项目启动到最终审核，通常需要6个月时间：体系建设即前两个阶段需要3个月，运行认证即后两个阶段需要3个月。
对重点行业规模企业如银行、电力、通信等组织来说，从项目启动到最终审核，需要至少8个月时间：现状调研和风险评估2个月，体系设计和整体实现2个月，体系发布和运行改进3个月，认证审核和证书获得1个月。
实施ISO27001标准体系建设的企业，在项目准备阶段，应充分考虑自身特点，设计合理的进度计划.