随着软件信息行业的缓慢崛起，信息安全管理体系也开始逐渐被企业所知，无论是内部改进还是招标奖励，或多或少反映了信息安全管理体系的重要性，要求组织建立和保持文件信息安全管理体系，应阐述资产保护、组织风险管理渠道、控制目标、控制方法和保证程度。

事实上，如果要考虑信息安全管理体系的认证，其流程和详细步骤如下：

1、现场诊断，了解企业现状；

2、确定信息安全管理体系的政策和目标；

3、根据组织的特点、地理位置、资产和技术，明确信息安全管理体系的范围；

4、信息安全管理体系基础知识培训；

5、培训信息安全系统内部审核员；

6、建立信息安全管理组织；

7、评估和分类信息资产，识别资产对组织的威胁、薄弱环节和影响，确定风险程度；

8、根据组织的信息安全政策和所需的保证程度，通过风险评估确定管理风险和风险控制手段；

9、制定信息安全管理手册和各种必要的控制程序；

10、制定适用性声明；

11、制定商业可持续发展计划；

12、审核文件、发布实施；

13、系统运行，有效实施选定的控制目标和控制方法；

14、内部审核；

15、管理评审；

16、认证审核的**阶段；

17、认证审核的*二阶段；

18、办法证书

19、系统持续运行/年度监督审核；

20、复审(证书三年有效)。

许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技术手段来实现信息安全有其局限性，所以信息安全管理体系的实现必须得到管理和程序控制的适当支持。

beianhz.cn.b2b168.com/m/