實施ISO 27001的主要步驟包括：

1、差距分析：對企業的人員、環境、技術和管理進行評估，明確體系實施的目標和范圍。

2、培訓導入：進行信息安全基礎知識培訓和體系建立指導，明確各崗位的信息安全管理職責。

3、體系建立：指導編寫ISO 27001程序文件、管理手冊，制定合規的管理規程和控制措施。

4、推廣實施：在企業內部推進體系運行，識別信息安全風險資產，開展內部評審和管理評審。

5、現場審核：向第三方認證機構申請信息安全管理體系認證，完成現場審核整改。

6、改進維持：規劃體系年度審核計劃和方案，按照PDCA原則，繼續完善和改進信息安全管理體系。

7、獲得認證：第二次審核信息安全管理系統符合ISO 27001標準的要求，則頒發認證。

適合實施ISO 27001的行業

信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看， 較多是：

1、 互聯網

2、 信息通訊

3、 電子商務

4、 生產制造

5、 金融保險

6、 電信行業

7、 電力行業

8、 數據處理中心

9、 軟件外包、開發等行業

總的來說，無論是哪種類型的企業，只要涉及到信息傳輸、儲存和利用，都可以參照ISO 27001標準進行流程優化和管理，以確保信息安全。

ISO27001認證的企業關心?

1、認證補貼

ISO27001在很多地區屬于補貼范圍內，例如北京市、上海市、浙江等地根據當地政策給予不同的獎勵。

2、證書有效期

ISO27001證書自發布之日起3年內有效，并目每年需要接受一次監督評估。

3、證書有效性

不同機構頒發的ISO27001證書效果一樣。在招投標場合，所有正規機構頒發的ISO27001證書效果相同。

4、獲證周期

獲得證書需2個月左右

5、查詢驗證

ISO27001體系認證證書目前統一由認監委歸口管理，錄入認監委官方查詢系統輸入信息即可查詢證書真偽。