企业实施ISO27001认证的六大原因：

       第一是规范内部信息安全管理，提升信息安全水平。

       第二是满足监管机构、客户、上级单位的安全要求。

       第三是更好应对来自第二方、第三方信息安全审计。

       第四是推动信息安全标准化工作，提升客户的信心。

       第五是强化信息安全宣传，提升全员信息安全认识。

       第六是获得资质证书，加强企业的市场、品牌宣传。

       ISO27001管理体系的建设，正确的项目实施顺序是什么？持续改进，项目启动，内部审核，体系设计，安全调研、差距分析，风险评估，管理评审，体系运行。实施顺序如下：项目启动-安全调研、差距分析-风险评估-体系设计-体系运行-内部审核-管理平审-持续改进。

      实战经验：

      首先是领导认可并制定方针

      组建队伍（总得有人倡导操作）

      制定实施计划

      --范围进一步明确

       --风险评估的准则和方法确认

      --执行风险评估

      --评估结果沟通

      --落实处置方案和控制措施（PPT三方面：技术方面、规章制度方面、人员训练方面）

      --试运行

     --内部审核（先检查充分性、再检查有效性、捎带手适宜性）

     --管理评审（评价充分性、适宜性和有效性，从高度上评价改进的方向）

    --申请外部审核、人证

    --持续监控运行绩效，发现问题或差距，再进行改进，并落实到PPT三个方面（是为持续改进）