没有认证经验的企业可以做 ISO27001 认证。

一、可行性方面

1. 标准适用性广泛

2. ISO27001 标准适用于各种类型、规模和行业的组织。无论企业是否有认证经验，只要其有信息资产需要保护，并且希望建立一套科学有效的信息安全管理体系，就可以依据该标准进行认证。

3. 标准涵盖了信息安全管理的各个方面，包括安全策略、组织架构、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取、开发和维护、信息安全事件管理等，能够为企业提供全面的信息安全管理指导。

4. 认证流程规范透明

5. ISO27001 认证的流程是明确且规范的。通常包括认证申请、文件审核、现场审核、不符合项整改、认证决定等环节。企业即使没有认证经验，也可以通过了解认证流程和要求，逐步开展认证工作。

6. 认证机构会在认证过程中给予企业指导和支持，帮助企业理解标准要求，完善信息安全管理体系，确保认证工作的顺利进行。

二、实施步骤方面

1. 现状评估与需求分析

2. 没有认证经验的企业可以首先进行信息安全现状评估，了解企业当前的信息安全管理水平和存在的问题。可以通过内部调查、风险评估等方式，识别企业的信息资产、威胁和脆弱性，确定信息安全需求。

3. 根据现状评估结果，制定信息安全管理体系建设的目标和计划，明确认证工作的时间表和责任人。

4. 体系建设与实施

5. 企业可以参考 ISO27001 标准和相关的指南、案例，建立符合自身实际情况的信息安全管理体系。包括制定信息安全方针、目标，编写体系文件（如信息安全手册、程序文件、作业指导书等），明确各部门和人员的职责和权限。

6. 实施信息安全管理体系，开展培训和宣传活动，提高员工的信息安全意识和技能。落实各项信息安全控制措施，如访问控制、加密、备份等，确保信息资产的安全。

7. 内部审核与管理评审

8. 在体系实施一段时间后，企业可以进行内部审核，检查信息安全管理体系的运行情况，发现存在的问题和不符合项，并及时进行整改。

9. 定期进行管理评审，由企业高层领导对信息安全管理体系的有效性、适宜性和充分性进行评估，提出改进意见和决策。

10. 认证申请与审核

11. 当企业认为信息安全管理体系已经基本成熟，符合 ISO27001 标准要求时，可以向认证机构提交认证申请。认证机构会对企业的申请进行评审，确定审核计划和审核组。

12. 认证机构进行现场审核，对企业的信息安全管理体系进行全面检查和评估。审核组会与企业的相关人员进行沟通和交流，了解体系的实施情况，验证体系的有效性。

13. 如果审核中发现不符合项，企业需要在规定的时间内进行整改，并提交整改报告。认证机构对整改情况进行验证，确认符合要求后，颁发 ISO27001 认证证书。