公司在注册ISO27000验证以前，尽量要提前准备公司内部的教育培训工作。一方面就是为了加强职工的公司信息安全意识，确立信息内容安全风险管理基本要求;另一方面，也可以让相关人员更好地了解ISO27000认证是什么，为接下来试点工作充分准备。总而言之，公司对团队开展网络信息安全管理体系标准和基本知识培训学习是十分必要的，那也是公司做好网络安全管理的重要因素之一。

1.拟定计划

信息内容安全风险管理的建设和保持是一项繁杂的工程项目，包含企业内部培训、风险评价、文件编写、运作、审批、矫正和防范措施等大量工作。为保证管理体系顺利地创建，企业应开展统筹安排，即制定一个行之有效的工作规划，确立不一样时间范围的工作职责总体目标及责任分工，操纵工作进展，突出工作重点，比如选用工程项目施工进度表。总体计划被审批后，就可以结合主要工作新项目制订详尽方案，比如文件编写方案。在制订计划时，公司应注意数据需求，比如工作人员的需要、培训经费、办公设备、聘用咨询管理公司费用等，假如寻找体系第三方认证，还要考虑到认证费用，公司*高管理层应保证给予建立体系所必需的人力资源与财务资源。

2.明确信息安全方针与信息安全风险管理范畴

信息安全方针讲的是在一个公司内部，具体指导应当怎样财产，包含隐私信息进行监管、保护与分派规则、标示。这儿所谈到的信息安全方针是企业信息安全的整体战略方针，公司首先应该制订信息安全方针，叙述网络信息安全在公司内部的必要性，说明管理人员的服务承诺，明确提出企业经营管理网络信息安全的办法，便于为公司的网络信息安全给予管理方向和支持。

3.现状调查与风险评价

公司网络安全管理现状调查与风险评估工作是实现信息内容安全风险管理的前提与重要，在管理体系创建的过程中，风险评价工作量占较大比率，风险评价的工作效能直接关系安全管理的选择合适的，因而，企业应责令专门部门负责该项基础工作，风险评价工作人员应了解规范基本要求，把握风险性评估的方法，了解企业商务运行步骤与信息管理系统。风险评价必须不一样单位的监管、信息科技、作业人员参加，必需时要得到信息安全专家的大力支持。风险评价得到的结果应被确定。

4.信息内容安全风险管理方案策划

在做完现状调查与风险评估工作以后，公司应该根据已制订的信息安全方针的总体要求与信息安全风险管理范畴、风险评价得到的结果，确立企业信息安全结构和岗位职责、挑选保障措施与控制方法、撰写操纵概述、制订业务流程延续性方案