第一階段:現(xiàn)狀調(diào)研 從日常運維、管理機制、系統(tǒng)配置等方面對貴公司信息安全管理安全現(xiàn)狀進行調(diào)研，通過培訓使貴公司相關人員全面了解信息安全管理的基本知識。 第二階段:風險評估 對貴公司信息資產(chǎn)進行資產(chǎn)價值、威脅因素、脆弱性分析，從而評估貴公司信息安全風險，選擇適當?shù)拇胧?、方法實現(xiàn)管理風險的目的。 第三階段:管理策劃 根據(jù)貴公司對信息安全風險的策略，制定相應信息安全整體規(guī)劃、管理規(guī)劃、技術規(guī)劃等，形成完整的信息安全管理系統(tǒng)。 第四階段:體系實施 ISMS建立起來（體系iso三體系認證正式發(fā)布實施）之后，要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性。 第五階段:認證咨詢審核 經(jīng)過一定時間運行，ISMS達到一個穩(wěn)定的狀

1 現(xiàn)場診斷； 2 確定信息安全管理體系的方針、目標； 3 明確信息安全管理體系的范圍，根據(jù)組織的特性、地理位置、資產(chǎn)和技術來確定界限； 4 對管理層進行信息安全管理體系基本知識培訓； 5 信息安全體系內(nèi)部審核員培訓； 6 建立信息安全管理組織機構(gòu)； 7 實施信息資產(chǎn)評估和分類，識別資產(chǎn)所受到的威脅、薄弱環(huán)節(jié)和對組織的影響，并確定風險程度； 8 根據(jù)組織的信息安全方針和需要的保證程度通過風險評估來確定應實施管理的風險，確定風險控制手段； 9 制定信息安全管理手冊和各類必要的控制程序 ； 10 制定適用性聲明； 11 制定商業(yè)可持續(xù)性發(fā)展計劃； 12 審核iso三體系認證、發(fā)布實施； 13 體系運行，有效的實施選定的控制目標和控制方式； 14 內(nèi)部審核； 15 外部第一階段認證咨詢審核； 16 外部第二階段認證咨詢審核； 17 頒發(fā)證書； 18 體系持續(xù)運行/年度監(jiān)督審核； 19 復評審核（證書三年有效）。

一、 初次獲取證書費用：
1、申請費：1000元；
2、審定與申報費（含證書費）：2000元；
3、審核費：按實際所需人·日收取，每審核人/日收費標準為6000元；
二、保持證書費用：
1、年金（含標志使用費）：2000元，每年度交納一次；
2、監(jiān)督審核費：按實際所需人·日收取，每審核人/日收費標準為6000元；
三、證書三年有效期滿，申請再認證咨詢費用：
1、審定與申報費（含證書費）：2000元；
2、年金：2000元；
3、審核費：按實際所需人·日收取，每審核人/日收費標準為6000元；
四、幾個情況說明：
1、審核現(xiàn)場分散在不同地點，每多一處增加2人·日費用，最多加收10人·日費用；
2、隨不同行業(yè)、業(yè)務的風險狀況進行費用調(diào)整；
3、擴大認證咨詢范圍時，對要求單獨進行審核的，擴大認證咨詢范圍部分的審核費按照實際核定的人·日數(shù)加收，申請費免收；對要求在年度監(jiān)督審核時進行的，擴大的部分可比照人日表標準的20～50%收取，原監(jiān)督審核費仍按合同執(zhí)行，申請費免收。
4、由于受審核方原因，需要增加審核時間，費用由受審核方支付；
5、審核員在進行審核時發(fā)生的食、宿、交通費用按實際支出由申請認證咨詢方支付。
6、需證書副本，需另收取證書費用100元（中英文各一張）；
五、收費方式：
1、申請費應在認證咨詢合同簽訂之日起30日內(nèi)由甲方支付給乙方。
2、初次審核費的50%應于認證咨詢合同簽訂之日起30日內(nèi)由甲方支付給乙方，剩余部分的審核費應于現(xiàn)場審核結(jié)束前付清。
3、審定與申報費（含證書費）應在相應證書批準之日起15日內(nèi)，由甲方支付給乙方，乙方采取費到發(fā)證。
4、年金（含標志使用費）：在三年認證咨詢證書有效期內(nèi)應交三次年金，初次認證咨詢時，年金應與審核費一起支付。第三年的年金應在本認證咨詢有效期內(nèi)付清或在再認證咨詢證書批準之日起15日內(nèi)付清，乙方采取費到發(fā)證。
5、監(jiān)督審核費應于每次監(jiān)督審核的45日之前一次支付。

一、項目前期準備階段 ① 理解管理層意圖，滲透管理思路； ② 將實施ISO27001項目的決定、目的、意義、要求在組織內(nèi)傳達，這也是體現(xiàn)內(nèi)部溝通，提高全體員工意識的必要手段； ③ 組織建設，包括任命管理者代表、成立貫標組織機構(gòu)、各級信息安全管理人員，明確其職責。
二、現(xiàn)場調(diào)研診斷 目的：了解組織的現(xiàn)狀，尋找與ISO27001標準的差距 內(nèi)容：實施調(diào)研診斷
三、人員培訓 目的：提升各級領導和全員的信息安全意識，使內(nèi)審員具備相應能力 內(nèi)容：動員會、ISO27001標準培訓、信息安全管理體系iso三體系認證編寫培訓、培訓是落實要求的重要手段
四、整合體系iso三體系認證架iso認證 目的：策劃覆蓋各個業(yè)務流程的系統(tǒng)的iso三體系認證化程序。 內(nèi)容：根據(jù)現(xiàn)場診斷的結(jié)果，梳理所有管理活動流程，根據(jù)ISO27001標準要求形成信息安全管理體系iso三體系認證清單，
五、確定信息安全方針和目標 目的：明確信息安全方針和目標，為信息安全管理體系提供導向。 內(nèi)容：根據(jù)業(yè)務要求及組織實際情況，制定安全方針和目標，
六、建立管理組織機構(gòu) 目的：建立完善的內(nèi)控組織架構(gòu)，為整合體系提供支持。 內(nèi)容：良好的組織架構(gòu)是確保各項管理活動落實的根本.
七、信息安全風險評估 目的：實施風險評估，識別不可接受風險，明確管理目標； 內(nèi)容：風險評估是整個風險管理的基礎，本階段將根據(jù)前期策劃的風險評估方法
八、ISMS體系iso三體系認證編寫 目的：建立iso三體系認證化的信息安全管理體系。 內(nèi)容：根據(jù)iso三體系認證體系策劃的結(jié)果，編寫信息安全管理體系iso三體系認證，
九、ISMS管理體系記錄的iso認證 目的：iso認證科學的信息安全管理體系記錄，保證各管理流程的可控性和可追溯性。 內(nèi)容：根據(jù)各個管理流程和iso三體系認證對管理過程的記錄要求，iso認證記錄表格格式
十、ISMS管理體系iso三體系認證審核 目的：確保ISMS信息安全管理體系iso三體系認證的系統(tǒng)性、有效性和效率。 內(nèi)容：對信息安全管理體系iso三體系認證進行評審 十
一、ISMS體系iso三體系認證發(fā)布實施 目的：發(fā)布ISMS信息安全管理體系iso三體系認證，落實管理要求。 內(nèi)容：由較高管理者組織發(fā)布管理iso三體系認證，并提出管理要求 十
二、組織全員進行iso三體系認證學習 目的：確保信息安全管理體系iso三體系認證要求在各個層級、各個崗位均得到有效的溝通和理解。 內(nèi)容：培訓是提升信息安全意識，明確信息安全要求的有效途徑，組織全員參與到體系的運行維護中，發(fā)揮每一個員工的重要作用 十
三、業(yè)務連續(xù)性管理 目的：確保在任何情況下，核心業(yè)務均可保持提供連續(xù)提供服務的能力。 內(nèi)容：根據(jù)標準要求，對重大的災難性事件發(fā)生時所引發(fā)的業(yè)務中斷進行應急響應和災難恢復的iso認證 十
四、審核培訓及內(nèi)審 目的：實施內(nèi)部審核，發(fā)現(xiàn)信息安全管理體系運行中的不符合，尋找改進的機會。 內(nèi)容：根據(jù)項目計劃實施內(nèi)部審核 十
五、管理體系有效性測量 目的：根據(jù)量化指標，測量信息安全管理體系的有效性。 內(nèi)容：制定測量的方法論，根據(jù) ISO27004 指南的內(nèi)容，進行信息安全管理體系有效性測量。 十
六、管理評審 目的：將體系運行過程中的成效和問題向管理層匯報，由較高管理者提出改進的要求和資源的支持。 內(nèi)容：根據(jù)管理評審流程的要求實施管理評審， 十
七、認證咨詢機構(gòu)正式審核 目的：由第三方權威機構(gòu)審核信息安全管理體系的有效性。 內(nèi)容：由認證咨詢機構(gòu)對建立的信息安全管理體系進行進一步的審核驗證，發(fā)現(xiàn)改進機會

ISO27001認證咨詢的步驟， 信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分： BS7799-1，信息安全管理實施規(guī)則 BS7799-2，信息安全管理體系規(guī)范。 第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和iso三體系認證化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨立組織的需要應實施安全控制的要求。 步驟/方法 1按照ISO27001（BS7799－2：2005）建立框架。 2認證咨詢機構(gòu)評估費用和正式審核時間。 3向認證咨詢機構(gòu)遞交正式申請 4（可選項）認證咨詢機構(gòu)將進行預審，在正式審核前排除一些重大的確失，同時讓客戶熟悉審核的方法危險評估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方。 5（可選項）認證咨詢機構(gòu)將進行預審，在正式審核前排除一些重大的確失，同時讓客戶熟悉審核的方法危險評估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方。 6認證咨詢機構(gòu)將進行第二階段審核，主要進行實施審核，查看程序規(guī)定的執(zhí)行情況。認證咨詢機構(gòu)通常將現(xiàn)場審核并給出建議。 7如果能順利完成審核，在確定清楚認證咨詢范圍后，發(fā)放信息安全體系證書。在滿足持續(xù)審核情況下，三年有效。 注意事項 ISO27001咨詢-ISMS運行過程.注意事項-有針對性地宣貫信息安全管理體系iso三體系認證。體系iso三體系認證的培訓工作是體系運行的首要任務，培訓工作的質(zhì)量直接影響體系運行的結(jié)果。組織應根據(jù)培訓工作計劃的安排并按照培訓程序的要求對全體員工實施培訓。通過培訓使全體員工認識到新建立或完善的信息安全管理體系是對過去信息安全管理體系的變革，是為了向國際先進的信息安全管理標準接軌，要適應這種變革和新管理體系的運行，就必須認真學習、貫徹信息安全管理體系iso三體系認證。 ISO27001咨詢-ISMS運行過程注意事項加強有關體系運行信息的管理，不僅是信息安全管理體系試運行本身的需要，也是保證試運行成功的關鍵。所有與信息安全管理體系活動有關的人員都應按體系iso三體系認證要求，做好信息安全的信息收集、分析、傳遞、反饋、處理和歸檔等工作。信息安全體系iso三體系認證屬于組織的信息資產(chǎn)，包含有關組織的全部安全管理等敏感信息，組織應按照信息分類的原則對其進行分類、進行密級標注并實行嚴格的安全控制，未經(jīng)認證不得隨意復制或借閱。 ISO27001咨詢-ISMS運行過程.注意事項-將體系試運行中暴露出的問題，如體系iso認證不周、項目不全等進行協(xié)調(diào)、改進。信息安全管理體系的運行涉及組織體系范圍的各個部門，在運行過程中，各項活動往往不可避免的發(fā)生偏離標準的現(xiàn)象，因此，組織應按照嚴密、協(xié)調(diào)、高效、精簡、統(tǒng)一的原則，建立信息反饋與信息安全協(xié)調(diào)機制對異常信息反饋和處理，對出現(xiàn)的問題加以改進，并保證體系的持續(xù)正常運行。 ISO27001咨詢-ISMS運行過程注意事項-實踐是檢驗真理的唯一標準。 體系iso三體系認證通過試運行必然會出現(xiàn)一些問題，全體員工應將實踐中出現(xiàn)的問題和改進意見如實反饋給有關部門，以便采取糾正措施。

第一階段：現(xiàn)狀調(diào)研 從日常運維、管理機制、系統(tǒng)配置等方面對貴公司信息安全管理安全現(xiàn)狀進行調(diào)研，通過培訓使貴公司相關人員全面了解信息安全管理的基本知識。 第二階段：風險評估 對貴公司信息資產(chǎn)進行資產(chǎn)價值、威脅因素、脆弱性分析，從而評估貴公司信息安全風險，選擇適當?shù)拇胧⒎椒▽崿F(xiàn)管理風險的目的。 第三階段：管理策劃 根據(jù)貴公司對信息安全風險的策略，制定相應信息安全整體規(guī)劃、管理規(guī)劃、技術規(guī)劃等，形成完整的信息安全管理系統(tǒng)。 第四階段：體系實施 ISMS建立起來（體系iso三體系認證正式發(fā)布實施）之后，要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性。 第五階段：認證咨詢審核 經(jīng)過一定時間運行，ISMS達到一個穩(wěn)定的狀態(tài)，各項文檔和記錄已經(jīng)建立完備，此時，可以提請進行認證咨詢。 如有需要可以參考我們已認證咨詢的資料 https://pan.baidu/s/1Z2Fh2MFF4jfbIgWqTsMc-A 提取碼: jrmr

ISO認證咨詢可以說已經(jīng)扭曲成了一種商業(yè)行為，只要你們公司的錢給到位了，基本上一定是會通過的，但是如果認證咨詢機構(gòu)沒選好，會受很多氣，多花冤枉錢的。 我就把自己公司做iso認證咨詢的切身體會，遇到的坑，里邊的潛規(guī)則說一說吧，希望對您有所幫助。 我們公司之前做了ISO9001的認證咨詢，后來又做了ISO9001的年審和ISO27001的認證咨詢，這三次認證咨詢從頭到尾都是我跟進的，我就把做ISO認證咨詢的一些體會分享一下，希望對其他要做相關認證咨詢的朋友有所幫助，以免增加不必要的損失。 事情的經(jīng)過我就略過不說了，只根據(jù)自己的切身體會談談ISO認證咨詢的潛規(guī)則吧。其實ISO認證咨詢也好，其他認證咨詢也好（我還做過好幾種認證咨詢，就不一一說了），本質(zhì)上已經(jīng)演變成了一種商業(yè)行為——披著認證咨詢外衣的金錢交易。認證咨詢公司的內(nèi)部分工跟其他公司差不多，也分為類似的業(yè)務部、技術部和售后服務部（跟單）。具體的流程是業(yè)務部找到要做認證咨詢的企業(yè)后，售后部跟進確認審核細節(jié)（時間和人員等），再由審核員上門審核，最后發(fā)證。 那么，這里邊都有哪些坑呢？ 首先，是關于審核員，有兩點我想曝光一下：一是索要紅包，幫我們公司認證咨詢的機構(gòu)叫上海挪亞確定是收紅包的，其他公司的審核員聽說也收紅包，每個審核員每次至少幾百塊的紅包，這似乎成了他們這一行不成文的規(guī)定。他們索要紅包的暗號就是挑刺，到處挑刺——飛機座位小了、酒iso認證公司公寓差了、吃得不好了、公司問題多了……總之，從出現(xiàn)在你面前開始，審核員就會不斷挑刺，直到你把紅包遞給他們，他們的嘴才會閉上。二是審核員的態(tài)度（僅針對我打過交道的某些審核員，不代表全部）——一幅高高在上的樣子，十分傲慢，非常愛顯擺，經(jīng)常把自己接受過多高多高的接待掛在嘴邊，可以說絲毫沒有服務意識。而且要全程包吃包住，報銷所有交通費用。所以，建議要做認證咨詢的朋友盡量找本地的認證咨詢機構(gòu)，而且審核員要找本地的，這樣可以節(jié)省審核員的住宿很交通費用。 其次，是關于售后，其他公司的售后不知道怎么樣，但該公司的售后實在是讓人惡習，就像狗皮膏藥一樣，粘著你不放。離下一次年審還有半年的時候，他們就開始不停地給你打電話、發(fā)郵件，而且態(tài)度依然是高高在上，完全是命令的口吻，絲毫不征求他們客戶的意見——XXX，請于XX月XX日之前把年審費用打到XX賬戶，見下圖： 如果你跟他們說不想做了，他們就纏著你不放，換著法逼你跟他們做認證咨詢，什么如果你不做就把證書寄回來，說是怕我們拿過期的證書做之類的，還說如果不寄回去就給你發(fā)iso認證老師函。一聽到這幫披著認證咨詢外衣的強盜的話，我就禁不住來氣，也沒答理他們。結(jié)果，沒過多久，他們真就寄了封iso認證老師函過來，見下圖： 這家機構(gòu)真是讓我感到惡心透了，我都忍不住想罵人了：TMD！我們公司花錢做了認證咨詢，證書本來就是我們的，你們有啥資格收回去，還誣陷我們做。為了跟單的提成毫無底限，真TMD不要臉！ 所以，我也只能是“吃一塹，長一智”了，以后選擇認證咨詢機構(gòu)，包括做生意找合作伙伴，消費申報也一樣，一定要提前了解清楚他們在業(yè)界的口碑，不能再起跟這樣的狗皮膏藥打交道了。否則，花了錢，陪吃陪喝，還惹上一堆麻煩，甩都甩不掉，凈讓人鬧心。 為了讓自己少生煩、工作的更加輕松愉快惱，我們一定要擦亮眼睛，用心識別出那些讓人鬧心的人或機構(gòu)，遠離傲慢自大、糾纏不休的家伙，多與誠實謙虛的人合作，踏踏實實地發(fā)展壯大。