1. Визначення області дії СУІБ
2. Попередній аудит на відповідність вимогам ISO 27001:
- збір вихідних даних про бізнес-процеси, структурні підрозділи, інформаційно-телекомунікаційну інфраструктуру, методи і засоби забезпечення інформаційної безпеки;
- аналіз діючої організаційно-розпорядчої документації, що регламентує питання забезпечення інформаційної безпеки;
- оцінка поточного рівня відповідності вимогам стандарту ISO 27001.
3. Проведення оцінки ризиків:
- Розробка методики оцінки ризиків;
- Інвентаризація та класифікація активів;
- Формування карти загроз;
- Аналіз і оцінка ризиків;
- Розробка плану обробки ризиків.
4. Розробка процедур і документації СУІБ:
- Розробка процесів управління інформаційною безпекою;
- Розробка процесів забезпечення інформаційної безпеки;
- Розробка комплекту організаційно-розпорядчої документації, що регламентує питання забезпечення інформаційної безпеки;
- Розробка програм підвищення обізнаності з питань управління та забезпечення інформаційної безпеки;
5. Впровадження процедур і документації СУІБ:
- Впровадження процесів управління інформаційною безпекою;
- Впровадження процесів забезпечення інформаційної безпеки;
- Навчання та підвищення обізнаності співробітників в області забезпечення інформаційної безпеки.
6. Дослідна експлуатація СУІБ
7. Сертифікаційний аудит і видача міжнародного сертифікату:
- Взаємодія з органом сертифікації;
- Консультаційна підтримка при проходженні сертифікаційного аудиту.
Результатом робіт є СУІБ компанії, що відповідає вимогам стандарту ISO 27001.