依据ISO27001的14个安全控制域，信息安全制度需包括：

1）信息安全方针：为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系，确定信息安全方针和目标，对信息安全风险进行有效管理，需制定配套的《信息安全管理手册》。

2）信息安全岗位职责：根据信息安全体系规定和公司实际需求，各岗位职责需在《信息安全组织运作管理规定》中明确。

3）人员管理：为了明确公司全体员工及在公司工作的第三方人员的行为，制定《人员信息安全管理规定》，确保全体员工和第三方用户了解信息安全威胁和利害关系、员工的职责和义务。

4）信息资产管理：本公司根据信息的敏感性对信息进行分类，明确保护要求、优先权和等级，以确保对资产采取适当的保护，需制定《内容信息安全管理规定》，明确公司核心信息资产及保护要求。

5）物理和环境安全：物理和环境安全的风险主要来源于自然环境灾害，人员访问控制失效，机房基础设施缺失导致的火灾、漏水、雷击和静电对设备电路的破坏，温湿度失调、设备失窃等安全事件，会影响网络、主机和业务的连续性，甚至导致业务数据丢失等。制定《物理区域信息安全管理规定》，要求访问、接待、操作、记录等流程规范，从而保障信息系统的业务连续性。

6）网络安全：为保证公司计算机网络安全和正常运行，确保服务器和终端在公司网络内正常运行，为公司提供安全可靠的网络环境，由公司IT部负责公司网络管理，制定并发布了《网络信息安全管理制度》。

7）设备安全：通过多种策略来保证公司设备规范，严格要求员工遵守操作规范和使用规则，保护信息在传输、交换和存储、备份等过程中的数据安全，为加强公司设备信息安全管理，防范信息安全事故，制定《终端信息安全管理规定》。

8）应用系统安全：根据信息安全体系规定和公司实际需求，员工对信息的访问进行必要的权限控制，并由应用系统管理员定期进行检查，防止未经授权的用户访问，尤其对Web系统需要符合Web网络安全要求，制定《应用系统信息安全管理制度》。

9）信息安全事件管理：为保障公司信息安全应急响应机制，规范信息安全突发事件的应急响应工作，保障公司信息安全，为加强公司信息安全事件的调查处理，规范信息安全事件处理流程、申诉流程和信息安全奖惩要求，最大限度地减少信息安全事件造成的损失，制定《信息安全事件管理规定》。

注：访问控制、密码学、应用系统开发与维护均由应用系统安全来规定；操作安全基本上都是在终端上操作，由终端安全来规定；通信安全由网络安全来规定；供应关系属于人员和系统层面，由人员管理和应用管理共同覆盖；业务连续性需IT基础架构及应用系统一起配合，需要单独的文件来规定；合规性是我们每个制度和安全建设的必要前提，由公司法务及律师评估当地法律法规，这些可不收录到信息安全管理制度。

因为信息安全制度要求及技术策略管控，不少用户有新的权限或资源需求，故需要设定信息安全相关流程，包括权限申请流程，由用户根据需要提交申请。

1）人员管理：设置权限申请流程，并结合HR相关的入职、离职、转岗流程，对人员的权限进行管理，如默认开通账号、权限或禁用一些资源等。

2）资产管理：根据公司资产管控需求，而公司的管控重点大多是信息资产，可能需要有资产定级、变更流程，以及资产的申请访问流程等，建议制定信息资产管理流程。

3）物理和环境安全：根据《物理区域信息安全管理规定》，要求对核心或关键区域都有访问、接待、操作、记录等流程规范，故需要制定外部人员接待流程和关键区域出入申请流程。

4）网络安全：《网络信息安全管理制度》会约定网络上的设置，一般为员工终端上网、服务器上网、网络端口打通、系统对外发布等，建议制定网络资源变更流程。

5）设备安全：大部分企业的设备包括员工电脑、实验室设备、哑终端等，根据制定的《终端信息安全管理规定》，这些设备的权限默认是受限的，对于特殊的终端需求，需要开通对应的权限，建议制定终端权限变更流程。

6）应用系统安全：企业的IT系统或服务管理了这个公司的数据及用户权限，所以应用系统的数据和权限管理至关重要，一般情况下，对于企业的核心数据都需要加密存储，业务数据采用最小授权原则，故依据《应用系统信息安全管理制度》，需要制定应用系统权限变更流程。

7）信息安全事件管理：信息安全永远没有绝对的安全。不怕安全事件发生，就怕一直有安全事件发生，而我们却毫不知情。所以针对信息安全的管理，除了管控，还有事后审计和运营，针对信息安全可疑事件，需要启动“信息安全事件调查流程”，依据《信息安全事件管理规定》，对信息安全事件需有定级，针对事件的处置，需要启动信息安全事件确认流程。

因为企业的业务性质及安全管理的范围不同，上述流程或许不能完全覆盖公司的安全需求，各企业可根据业务场景制定对应的信息安全流程，并根据安全需求及风险情况，设置对应的审批层级。

ISO27001是一套信息安全管理体系标准，的前身为英国的BS7799标准，该标准由英国标准协会（BSI）提出并修订而成，并经过多次修订和发布，最终通过了国际标准化组织ISO的认可，正式成为国际标准。

目前，大部分科技企业，或者一些科技公司的供应商，都对信息安全有比较高的要求。尤其海外的高科技公司（如谷歌、苹果、亚马逊等）对中国供应商的信息安全要求更高，不但要提供信息安全相关认证，还要提供对应的技术手段和相关材料方可通过他们的认证。

1950年W. Edwards Deming提出PDCA流程，即计划（Plan）－执行（Do）－检查（Check）－提升（Act）过程，说明业务流程应当是不断改进的，通过不断的制定新的计划并检查是否有优化的空间，从而保证执行效果越来越好。

对于信息安全更是如此，信息安全制度和防护技术，都会随着公司的业务、环境或者技术层面，甚至一些政策方面（如GDPR）调整优化。根据ISO27001体系标准，公司需要制定对应的制度和流程，同时配套相应的技术手段以保障制度的落地。故，即便公司在获得ISO27001认证后，仍然要每年复核，正是匹配了PDCA的过程——公司的信息安全不断优化以保障公司稳定可靠发展。

除了企业自身投入之外，ISO27001 认证还需要聘请第三方认证机构。颁发ISO27001信息安全管理体系证书的认证机构必须是经过国家认证监督委员会（认监委CNCA）授权的认证机构方可在国内进行审核发证，所有CNCA授权的认证机构和通过认证且合法的证书均可在CNCA的网站上进行查询。

在企业向认证机构提出申请之后，认证机构需要初步了解组织现状，并确定审核范围，大致包括如下：

1、员工数量；

2、场所数量；

3、企业 IT 情况；

4、组织类型和业务性质等。

    基本上，企业在认证机构的辅导下，通过ISO27001认证并不困难。而针对信息安全体系的建设，则不能仅仅体现在认证本身，还需要结合公司的业务需要，在制度及流程完备的情况下，通过信息安全技术防护，将公司的信息安全落到实处！