1.準備：確定信息安全管理體系的范圍、政策和程序，并進行內(nèi)部審核和修訂。

2.申請：向符合要求的認證機構提交申請，包括信息安全管理體系文件和內(nèi)部審核報告。

3.初審：認證機構將對申請材料進行初步審核，以確定是否符合認證要求。

4.現(xiàn)場審核：認證機構將派出審核員到組織現(xiàn)場進行審核，以確認信息安全管理體系的有效性和符合性。

5.報告編制：審核員將審核報告提交給認證機構，說明審核結果和建議。

6.決策：根據(jù)審核報告，認證機構將決定是否授予認證證書。

7.監(jiān)督審核：認證機構將每年進行一次監(jiān)督審核，以確保信息安全管理體系的持續(xù)有效性和符合性。

8.再認證審核：認證證書在有效期滿前的三個月內(nèi)，組織需要向認證機構申請再認證審核，以延長認證證書的有效期。

認證機構的審核員在完成對這些文件的次檢查后，會前往申請證書的公司，并在此次開始現(xiàn)場審核工作。在該審計期間，觀察由公司根據(jù)活動領域確定的信息安全控制是否根據(jù)標準執(zhí)行。

根據(jù)審核員編寫的報告，如果審核成功，認證機構將準備ISO 27001信息安全管理體系證書并將其交付給公司。

頒發(fā)此證書后，根據(jù)公司的要求，認證機構每年進行一次或兩次修訂審核。ISO 27001信息安全管理體系證書的有效期為三年。在此期間結束時，應重新進行認證研究，并續(xù)簽證書。

ISO 27001適用于所有組織，從小到大，適用于任何部門(**，健康，能源，教育，制造，公共和IT部門)。

ISO 27001信息安全管理系統(tǒng)是一個管理系統(tǒng)，包括提供公司信息安全的人員，流程和信息系統(tǒng)，并由管理層提供支持。它旨在保護信息資產(chǎn)，并提供充分和相稱的安全控制，為相關方提供信心。ISO 27001信息安全管理系統(tǒng)包括公司結構，政策，計劃活動，職責，實踐，程序，流程和資源。

ISO 27001適用于所有組織，無論大小，無論是世界上哪個國 家或行業(yè)。該標準在**，醫(yī)療保健，公共和信息技術等重要領域尤為必要。ISO 27001對于代表其他人管理信息的組織也很重要，例如信息技術分包商。它可用于向客戶保證其信息受到保護。

滿足ISO 27001標準所有要求的組織現(xiàn)在可以通過申請認證機構申請證書。認證機構必須是經(jīng)認可的機構。當該組織收到請求時，它首先通過它將請求的系統(tǒng)文檔開始檢查。要審查的文件必須包括組織的信息安全政策，風險評估報告，風險行動計劃，合規(guī)聲明，安全流程定義和應用說明。

認證機構的審核員在完成對這些文件的次檢查后，會前往申請證書的公司，并在此次開始現(xiàn)場審核工作。在該審計期間，觀察由公司根據(jù)活動領域確定的信息安全控制是否根據(jù)標準執(zhí)行。

根據(jù)審核員編寫的報告，如果審核成功，認證機構將準備ISO 27001信息安全管理體系證書并將其交付給公司。

頒發(fā)此證書后，根據(jù)公司的要求，認證機構每年進行一次或兩次修訂審核。ISO 27001信息安全管理體系證書的有效期為三年。在此期間結束時，應重新進行認證研究，并續(xù)簽證書。