ISO27000認(rèn)證體系建立和運行步驟 ISO27001標(biāo)準(zhǔn)要求組織建立并保持一個文件化的信息管理體系，其中應(yīng)闡述需要保護(hù)的資產(chǎn)、組織風(fēng)險管理的渠道、控制目標(biāo)及控制方式和需要的保證程度。 不同的組織在建立與完善信息管理體系時，可根據(jù)自己的特點和具體情況，采取不同的步驟和方法。但總體來說，建立信息管理體系一般要經(jīng)過下列四個基本步驟：信息管理體系的策劃與準(zhǔn)備；信息管理體系文件的編制；信息管理體系運行；信息管理體系審核與評審。 如果考慮認(rèn)證過程其詳細(xì)的步驟如下： 1. 現(xiàn)場診斷； 2. 確定信息管理體系的方針、目標(biāo)； 3. 明確信息管理體系的范圍，根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)來確定界限； 4. 對管理層進(jìn)行信息管理體系基本知識培訓(xùn)； 5. 信息體系內(nèi)部審核員培訓(xùn)； 6. 建立信息管理組織機(jī)構(gòu)； 7. 實施信息資產(chǎn)評估和分類，識別資產(chǎn)所受到的威脅、薄弱環(huán)節(jié)和對組織的影響，并確定風(fēng)險程度； 8. 根據(jù)組織的信息方針和需要的保證程度通過風(fēng)險評估來確定應(yīng)實施管理的風(fēng)險，確定風(fēng)險控制手段； 9. 制定信息管理手冊和各類必要的控制程序 ； 10. 制定適用性聲明； 11. 制定商業(yè)可持續(xù)性發(fā)展計劃； 12. 審核文件、發(fā)布實施； 13. 體系運行，有效的實施選定的控制目標(biāo)和控制方式； 14. 內(nèi)部審核； 15. 外部 階段認(rèn)證審核； 16. 外部第二階段認(rèn)證審核； 17. 頒發(fā)； 18. 體系持續(xù)運行/年度監(jiān)督審核； 19. 復(fù)評審核（三年有效）。 至于應(yīng)采取哪些控制方式則需要周密計劃，并注意控制細(xì)節(jié)。信息管理需要組織中的所有雇員的參與，比如為了防止組織外的第三方人員非法進(jìn)入組織的辦公區(qū)域獲取組織的技術(shù)機(jī)密，除物理控制外，還需要組織全體人員參與，加強(qiáng)控制。此外還需要供應(yīng)商，顧客或股東的參與，需要組織以外的專家建議。信息、信息處理過程及對信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資金流動、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。 當(dāng)前，越來越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的威脅，諸如計算機(jī)病毒、計算機(jī)入侵、DoS攻擊等手段造成的信息災(zāi)難已變得更加普遍,有計劃而不易被察覺。組織對信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到威脅的破壞，公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實現(xiàn)訪問控制的難度。 許多信息系統(tǒng)本身就不是按照系統(tǒng)的要求來設(shè)計的，所以僅依靠技術(shù)手段來實現(xiàn)信息有其局限性，所以信息的實現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)采取哪些控制方式則需要周密計劃，并注意細(xì)節(jié)。信息管理至少需要組織中的所有雇員的參與，此外還需要供應(yīng)商、顧客或股東的參與和信息的專家建議。

1. 現(xiàn)場和所有相關(guān)外部支持場所的員工數(shù)量； 2. 企業(yè)質(zhì)量管理體系文件資料，包括符合IATF 16949要求的證據(jù)，并顯示與任何外部支持功能、新疆附近外程的聯(lián)系和接口； 3. 自上次審核以來的顧客和內(nèi)部績效數(shù)據(jù)； 4. 自上次審核以來的顧客滿意度和投訴總結(jié)，包括近的顧客報告、新疆附近記分卡副本； 5. 自上次審核以來任何顧客特殊狀態(tài)的標(biāo)識； 6. 自上次審核以來內(nèi)部審核和管理評審結(jié)果。 以上情況主要針對監(jiān)督審核、新疆附近再審核等等。 如果是初次認(rèn)證第1階段審核，則需要如下內(nèi)容： 1. 提供外部場所和支持的描述； 2. 對顯示順序和相互作用的過程的描述，包括確認(rèn)外部支持功能和外程； 3. 至少前12個月的關(guān)鍵指標(biāo)和績效趨勢； 4. 客戶過程已經(jīng)滿足IATF 16949全部要求的證據(jù)； 5. 質(zhì)量手冊，包括與現(xiàn)場或外部支持功能的相互作用； 6. 已經(jīng)按照IATF 16949進(jìn)行了一個完整的內(nèi)部審核周期及隨后的管理評審的證據(jù)； 7. 合格內(nèi)部審核員名單以及資質(zhì)確認(rèn)準(zhǔn)則； 8. 如果適用，汽車顧客名單及其顧客特定要求； 9. 如果適用， 顧客投訴總結(jié)、新疆附近響應(yīng)、新疆附近記分卡和特殊狀況。

管理手冊的主要內(nèi)容是描述有關(guān)標(biāo)準(zhǔn)要求和組織機(jī)構(gòu)與職責(zé)劃分，由于ISO9001標(biāo)準(zhǔn)的結(jié)構(gòu)形式和條款編號，與ISO14001標(biāo)準(zhǔn)和OHSAS標(biāo)準(zhǔn)的結(jié)構(gòu)形式和條款編號相差很遠(yuǎn)，因此，要編寫三個管理體系統(tǒng)一的管理手冊有一定的困難。與些相反，環(huán)境和職業(yè)管理體系的標(biāo)準(zhǔn)無論結(jié)構(gòu)、形式、條款名稱、要素編號都非常相似，完全有可能進(jìn)行整合編寫，故組織通常更容易將“環(huán)境和管理手冊”合并為一冊，而另冊編寫其“質(zhì)量手冊”。認(rèn)證 如果組織希望將三個管理體系的手冊合并，則通常要以ISO9001版標(biāo)準(zhǔn)為基本模式，按照PDCA循環(huán)的規(guī)律和標(biāo)準(zhǔn)各個條款的功能，插入環(huán)境和職業(yè)管理體系標(biāo)準(zhǔn)的相應(yīng)要求。但是，這樣做一定要避免在“三合一”管理手冊的描述中缺失有關(guān)ISO14001和OHSAS18001標(biāo)準(zhǔn)的有關(guān)要求。