組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施，至此，信息安全管理體系將進(jìn)入運(yùn)行階段。在此期間，組織應(yīng)加強(qiáng)運(yùn)作力度，充分發(fā)揮體系本身的各項(xiàng)功能，及時(shí)發(fā)現(xiàn)體系策劃中存在的問(wèn)題，找出問(wèn)題根源，采取糾正措施，并按照更改控制程序要求對(duì)體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。ISO27001認(rèn)證體系審核體系審核是為獲得審核證據(jù)，對(duì)體系進(jìn)行客觀的評(píng)價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、立的并形成文件的檢查過(guò)程。體系審核包括內(nèi)部審核和外部審核(第三方審核)。內(nèi)部審核一般以組織名義進(jìn)行，可作為組織自我合格檢查的基礎(chǔ);外部審核由外部立的組織進(jìn)行，可以提供符合要求的認(rèn)證或注冊(cè)。至于應(yīng)采取哪些控制方式則需要周密計(jì)劃。并注意控制細(xì)節(jié)。

ISO27001認(rèn)證:
1. 風(fēng)險(xiǎn)識(shí)別
通過(guò)進(jìn)行風(fēng)險(xiǎn)識(shí)別活動(dòng)，識(shí)別了以下內(nèi)容：
1) 識(shí)別了信息安全管理體系范圍內(nèi)的資產(chǎn)及其責(zé)任人；
2) 識(shí)別了資產(chǎn)所面臨的威脅；
3) 識(shí)別了可能被威脅利用的脆弱點(diǎn)；
4) 識(shí)別了喪失保密性、完整性和可用性可能對(duì)資產(chǎn)造成的影響。
2. 風(fēng)險(xiǎn)估計(jì)與評(píng)價(jià)
1) 通過(guò)對(duì)資產(chǎn)的保密性（C）、完整性（I）、可用性（A）及業(yè)務(wù)影響度（BI）賦值對(duì)公司資產(chǎn)喪失CIA（BI）所造成的后果進(jìn)行了判斷。

ISO27001認(rèn)證目標(biāo)：
加強(qiáng)固定資產(chǎn)的管理，固定資產(chǎn)的完好無(wú)損，防止資產(chǎn)流失，使公司固定資產(chǎn)能夠*好的為公司運(yùn)營(yíng)及管理服務(wù)。

硬件資產(chǎn)等級(jí)分類(lèi)
1、：服務(wù)器資產(chǎn)，維持系統(tǒng)或業(yè)務(wù)平臺(tái)正常運(yùn)行重要的主機(jī)設(shè)備。由系統(tǒng)服務(wù)部承擔(dān)安全管理責(zé)任。標(biāo)記為H1。
2、二級(jí)：網(wǎng)絡(luò)設(shè)備資產(chǎn)，支撐維持公司員工正常工作、工作設(shè)備正常運(yùn)行或正常業(yè)務(wù)運(yùn)營(yíng)所需要的網(wǎng)絡(luò)環(huán)境主要的連接或配置設(shè)備。由系統(tǒng)服務(wù)部承擔(dān)安全管理責(zé)任。標(biāo)記為H2。
3、：個(gè)人臺(tái)式機(jī)資產(chǎn)，支撐員工基本工作需要的臺(tái)式計(jì)算機(jī)。由行政部承擔(dān)安全管理責(zé)任。標(biāo)記為H3。
4、：移動(dòng)設(shè)備資產(chǎn)，支撐員工基本工作或業(yè)務(wù)服務(wù)所需要的筆記本電腦、手機(jī)、移動(dòng)存儲(chǔ)等可移動(dòng)的工作設(shè)備。由行政部承擔(dān)安全管理責(zé)任。標(biāo)記為H3。
5、：其他設(shè)備資產(chǎn)，除上述四類(lèi)設(shè)備外的其它辦公所需設(shè)備。由行政部承擔(dān)安全管理責(zé)任。標(biāo)記為H4。

管理部門(mén)職責(zé)：
1、行政部：
1)對(duì)辦公類(lèi)設(shè)備固定資產(chǎn)做統(tǒng)一編號(hào)。
2)負(fù)責(zé)**辦公設(shè)備硬件類(lèi)固定資產(chǎn)安全管理制度。
3)編制維護(hù)行政部硬件固定資產(chǎn)清單庫(kù)。

織全體人員都參與進(jìn)來(lái)，從而大家在思路上的共識(shí)；（8）體系運(yùn)行模式滿足原則遵照PDCA過(guò)程方法來(lái)對(duì)體系進(jìn)行不間斷的持續(xù)改進(jìn)；（9）工具接口滿足原則如要對(duì)IT服務(wù)管理與信息安全，要建設(shè)兩個(gè)系統(tǒng)時(shí)，要求兩個(gè)系統(tǒng)要設(shè)計(jì)詳細(xì)的接口，并有的文檔來(lái)記錄接口定義。通過(guò)以往的項(xiàng)目經(jīng)驗(yàn)及對(duì)兩套體系的研究，歸納與總結(jié)ISO20000與ISO27001的體系對(duì)比，兩套體系整合的可行性可能會(huì)存在以下幾個(gè)方面，（1）體系實(shí)施人員的整合作為兩套體系整合的要素，也是整合重要的因素，只有對(duì)實(shí)施人員的統(tǒng)一管理與任務(wù)分派，才能*好的管理體系實(shí)施與改進(jìn)。即使人員有很大變動(dòng)時(shí)，也能正常的服務(wù)運(yùn)營(yíng)；（2）體系規(guī)范的整合體系實(shí)施人員通過(guò)自身研究或借助咨詢公司深入研究?jī)商左w系規(guī)范。