ISO27001認證體系建設分為四個階段：實施風險評估、規劃體系建設方案、建立信息管理 體系、體系運行及改進。也符合信息管理循環PDCA(Plan-Do-Check-Action)模型及ISO27001要求， 即有效地保護企業信息系統的，確保信息的持續發展。 　　1、確立范圍 　　首先是確立項目范圍，從機構層次及系統層次兩個維度進行范圍的劃分。從機構層次上，可以考慮 內部機構：需要覆蓋公司的各個部門，其包括總部、事業部、制造本部、技術本部等;外部機構：則包括 公司信息系統相連的外部機構，包括供應商、中間業務合作伙伴、及其他合作伙伴等。 　　從系統層次上，可按照物理環境：即支撐信息系統的場所、所處的周邊環境以及場所內保障計算機 系統正常運行的設施。包括機房環境、門禁、監控等;網絡系統：構成信息系統網絡傳輸環境的線路介質 ，設備和軟件;服務器平臺系統：支撐所有信息系統的服務器、網絡設備、客戶機及其操作系統、數據庫 、中間件和Web系統等軟件平臺系統;應用系統：支撐業務、辦公和管理應用的應用系統;數據：整個信息 系統中傳輸以及存儲的數據;管理：包括策略、規章制度、人員組織、開發、項目管理 和系統管理人員在日常運維過程中的合規、審計等。 　　2、風險評估 　　企業信息是指保障企業業務系統不被非法訪問、利用和篡改，為企業員工提供、可信的服 務，保證信息系統的可用性、完整性和保密性。 　　本次進行的評估，主要包括兩方面的內容： 　　2.1、企業管理類的評估 　　通過企業的控制現狀調查、訪談、文檔研讀和ISO27001的 實踐比對，以及在行業的經驗上 進行“差距分析”，檢查企業在控制層面上存在的弱點，從而為措施的選擇提供依據。 　　評估內容包括ISO27001所涵蓋的與信息管理體系相關的11個方面，包括信息策略、組 織、資產分類與控制、人員、物理和環境、通信和操作管理、訪問控制、系統開發與維護、安 全事件管理、業務連續性管理、符合性。 　　2.2、企業技術類評估 　　基于資產等級的分類，通過對信息設備進行的掃描、設備的配置，檢查分析現有網絡 設備、服務器系統、終端、網絡架構的現狀和存在的弱點，為加固提供依據。 　　針對企業具有代表性的關鍵應用進行評估。關鍵應用的評估方式采用滲透測試的方法，在應用 評估中將對應用系統的威脅、弱點進行識別，分析其和應用系統的目標之間的差距，為后期改造提 供依據。 　　提到評估，一定要有方法論。我們以ISO27001為核心，并借鑒國際常用的幾種評估模型的優點 ，同時結合企業自身的特點，建立風險評估模型： 　　在風險評估模型中，主要包含信息資產、弱點、威脅和風險四個要素。每個要素有各自的屬性，信 息資產的屬性是資產價值，弱點的屬性是弱點在現有控制措施的保護下，被威脅利用的可能性以及被威 脅利用后對資產帶來影響的嚴重程度，威脅的屬性是威脅發生的可能性及其危害的嚴重程度，風險的屬 性是風險級別的高低。風險評估采用定性的風險評估方法，通過分級別的方式進行賦值。 　　3、規劃體系建設方案 　　企業信息問題根源分布在技術、人員和管理等多個層面，須統一規劃并建立企業信息體系 ，并終落實到管理措施和技術措施，才能確保信息。 　　規劃體系建設方案是在風險評估的基礎上，對企業中存在的風險提出建議，增強系統的安 全性和抗攻擊性。 　　在未來1-2年內通過信息體系制的建立與實施，建立組織，技術上進行審計、內外網隔 離的改造、產品的部署，實現以流程為導向的轉型。在未來的 3-5 年內，通過完善的信息體系 和相應的物理環境改造和業務連續性項目的建設，將企業建設成為一個注重管理，為主，防治結合 的先進型企業。 　　4、企業信息體系建設 　　企業信息體系建立在信息模型與企業信息化的基礎上，建立信息管理體系核心可以更 好的發揮六方面的能力：即預警(Warn)、保護(Protect)、檢測(Detect)、反應(Response)、恢復 (Recover)和反擊(Counter-attack)，體系應該兼顧攘外和安內的功能。 　　體系的建設一是涉及管理制度建設完善;二是涉及到信息技術。首先，針對管理制 度涉及的主要內容包括企業信息系統的總體方針、技術策略和管理策略等。總體方針 涉及組織機構、管理制度、人員管理、運行維護等方面的制度。技術策略涉 及信息域的劃分、業務應用的等級、保護思路、說以及進一步的統一管理、系統分級、網絡互 聯、容災備份、集中監控等方面的要求。 　　其次，信息技術按其所在的信息系統層次可劃分為物理技術、網絡技術、系統技 術、應用技術，以及基礎設施平臺;同時按照技術所提供的功能又可劃分為保護類、檢 測跟蹤類和響應恢復類三大類技術。結合主流的技術以及未來信息系統發展的要求，規劃信息 技術包括：

物業管理作為物業的后期管理，是確保物業保值增值的重要手段。在我國，物業管理尚屬起步晚的"朝陽產業"， 但從目前物業管理運營市場來看，企業的管理決策對物業管理的認識，大多停留在平面的服務層面上，如設夜行燈、安排門衛值班等等，雖然是必須的，但這種平面式的服務內容缺乏想象，沒有獨創，往往是事倍功半，工作效率低下，不能滿足業主的各種需求。 病因在于物業管理公司內部管理運營結構不合理，管理技術落后，首先是觀念沒有徹底改變，傳統型管理占主導地位，雖然強調了服務，但因其是平面式的，有"表"沒有及"里"，所以僅僅是解決了為業主服務這一面，而忽視了如何為業主提供高質量服務的一面；其次，物業管理公司運營結構軟弱，銜接不佳，內耗大，缺乏一套系統的管理體系，造成業主與管理者、管理者與決策者之間的斷層空白，致使問題越積越多，處理時間越來越長，以至于問題終還是得不到解決，不了了之，使物業管理陷入疲軟無力的境地。因此，物業管理公司能實現有序管理的當務之急在于要迅速建立起一套規范化、標準化、反應靈敏的動態物業管理體系。 但物業管理要建立一套規范合理的運作機制并不是一件容易的事，規范而又合理的東西往往是許多經驗的長期積累，且需經過多年的探索驗證。而對國內眾多物業管理公司來說，剛剛興起的這個行業讓大家多少有點趕鴨子上架的味道，且往往又是物業開發商的無奈之舉，與物業開發商多有些"血緣"關系。因此，如何迅速建立起一套適切合理的牧業管理體系，是目前物業管理公司所關注的一個重要問題。目前，國內一些起步較早、崇尚規范經營的物業管理公司都在嘗試導入ISO9000來建立自己的運作體系，通過一段時間的運作，已在物業管理上取得一些佳績。 對物業管理公司而言，要建立起一套物業管理體系有三個關鍵方面要注意，即管理職責、質量體系結構及人員和物質資源。這三個關鍵方面的焦點是業主，只有這三個關鍵方面相互協調時，才能保證業主滿意。ISO9000的建立意在強調業主的重要，與業主接觸面上的質量控制的重要。物業管理如不能很好控制與業主接觸面上的質量，服務質量就難以形成。 結合物業管理實際情況及今后的發展，據此建立起一個科學完善的"合同評審程序"，識別并確定客戶的需求，同時判斷自己是否具有滿足業主需求的能力。區分出哪些是自己能夠提供的服務項目，哪些是由外部服務組織提供的服務項目。外部伺服性服務組織的選擇，可依據實際情況建立"分包商選擇與管理程序"，以分承包方的形式進行，并將有關分包服務項目列入與分承包方簽署的分包合同或協議中。 對提供的服務按實際情況建立"服務過程查核程序"、"服務過程狀態識別程序"，"服務管理程序"進行服務質量的全程管理，并對其結果追蹤確認。同時建立"公共設施、器材管理程序"、建立"維護保潔控制程序"、"緊急應變作業程序"、"人員進駐控制程序"和"保安駐警控制程序"，以給物業管理正常運作提供運行保障和保障。 物業ISO9001標準建立起一個開放式的信息溝通體系，如建立："客戶滿意度調查程序"、"客戶抱怨處理程序"，并通過至少每年一次對業主進行"需求的連續評審"。建立的"新服務項目企劃程序"策劃新服務項目，以向業主盡可能多提供按需服務，從而促使物業管理公司走出管理的消極狀態。 對物業管理服務中存在的問題，建立"服務的鑒別與追溯性程序"，建立"不符合服務控制程序"，建立"糾正與措施程序"等改進措施加以自我改進完善。在物業管理公司內部管理上，可以通過實際情況建立"管理責任程序"，建立"文件與資料控制程序"，建立"機電設備控制程序"、"行政服務控制程序"，建立"進料控制程序"，建立"庫存作業管理程序"、"搬運控制程序"、"交房作業管理程序"加以內部規范管理；通過建立"質量記錄管理程序"如實記錄運行中的活動結果，并妥善保存這些記錄，以提供作為內部及第三方審核的證據；并建立"統計技術管理程序"對這些質量記錄加以統計并進行技術分析。同時，通過建立"內部管理審核程序"以完善內部管理審核體系。 在人力資源的配備上，根據實際工作需要設置部門和人員，要求建立"工作職責說明書"，規定定量、定性的服務內容和服務應達到的水準，避免人浮于事的弊端。并按ISO9001標準之建立"培訓管理程序"，對全體員工進行物業管理基本知識、崗位任職資格等培訓，并進行資格確認，以保證公司員工對公司完善管理、公司發展的適應，使物業管理公司在建好一個企業的同時，更培養鍛煉了一支隊伍。 物業ISO9000認證體系是一種從管理模式向服務模式進化的體系，它所強調的是將服務作為一種商品，確保被服務者在使用過程中的滿意程度，是一種服務質量承諾的兌現，強調人對人的服務，是一個為業主提供綜合性整合化服務的系統。這個體系的建立將使物業管理逐步朝為業主按需提供服務的理想化方向發展，并以其全新體制的優勢促使物業管理真正成為產業經濟活動，以塑造眾多的需求群體和拉動巨大的需求市場，以此影響、優化物業管理的市場環境，推動物業管理的發展。