1、体系运行

运行跟踪、安全度量（测量、安全教育意识培训）、内部审核、管理评审

宣传培训（电子海报、张贴画、展板、信息安全培训手册）

27004建立测量指标、信息安全目标有效性测量表

内部审核&管理评审

管理评审由管理层来做，一般一年一次

内审的输入、形成管理评审报告

2、认证审核

ISO20000

2301

在原来的基础上，信息安全，

动员会，领导讲话，各部门配合，

做一个纲领性讲解，工作计划，工作流程，

领导小组，参加部门，都有哪些，工作内容，

包括对意识进行培训，

宣传培训

安全意识不是一次性的，是长期的，

意识是大脑皮层的条件反射，

不能光一次培训，看什么东西，没有后续 工作是起不了太大作用的。

不要讲的太死板，太枯燥，

加点动画，电影片段，加点感兴趣的，

最后讲公司规定，挑主要的讲，

海报，安全手册，电子 课件，安全动画，宣传片，

有效性测量：测量指标，参考27004，开发指标，

结合实情开发适合自己的指标，每年，每季度，

不合格要有证据，说明

管理评审管理层做的，一年一次，

风险评估报告，管理评审的输入，

会议记录，管理评审的输出 ，

文件审核通过后才进行认证审核 

账号不知道给谁创建，

系统开发安全问题，

规范人员分类，

量化计分 考核办法，

相关奖惩措施，