Step1 : ก่อนอื่นเลยต้องกำหนดขอบเขต(Scope) ที่จะทำ ISO:27001  หรือพูดอีกอย่างก็คือ

ท่านต้องการให้ระบบงานหรือกิจกรรมอะไรบ้างที่ถูกควบคุมดูแลภายใต้ ISO:27001 เพื่อให้มั่นใจว่าสารสนเทศของระบบงาน

หรือกิจกรรมนั้นๆ มีความมั่นคงปลอดภัย ว่าไปแล้วนี่ขอบเขตก็เป็นสิ่งที่สำคัญมากนะครับ เพราะถ้าขอบเขตเล็กเกินไปไม่สะท้อน performance ที่เพียงพอ

ก็อาจจะมีปัญหาในตอนยื่นขอตรวจรับรองระบบ แต่ถ้าใหญ่เกินไปก็จะทำให้สำเร็จได้ยาก

Step2 : ให้ไปศึกษามาตรฐาน ISO:27001 ให้เข้าใจหลักการพื้นฐานและแนวทางการนำไปใช้งานให้เข้าใจ โดยท่านสามารถไปขออ่านได้

ที่ห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ) กระทรวงอุตสาหกรรม

Step3 : ทำการประเมินองค์กรเบื้องต้นให้รู้ว่าองค์กรยังขาดอะไร เมื่อเทียบกับสิ่งที่ต้องมีตามมาตรฐาน ISO:27001

ขั้นตอนนี้ท่านจะต้องมีความรู้ในข้อกำหนดของ ISO:27001 พอสมควรนะครับ ถึงจะประเมินได้ว่าข้อไหนมีแล้วข้อไหนยังขาด

หรือมีประเด็นไหนที่ไม่สอดคล้องตามกฎหมายก็ให้สรุปประเด็นเสนอผู้บริหารเพื่อเร่งดำเนินการแก้ไขนะครับ