1.准备：确定信息安全管理体系的范围、政策和程序，并进行内部审核和修订。

 

2.申请：向符合要求的认证机构提交申请，包括信息安全管理体系文件和内部审核报告。

 

3.初审：认证机构将对申请材料进行初步审核，以确定是否符合认证要求。

 

4.现场审核：认证机构将派出审核员到组织现场进行审核，以确认信息安全管理体系的有效性和符合性。

 

5.报告编制：审核员将审核报告提交给认证机构，说明审核结果和建议。

 

6.决策：根据审核报告，认证机构将决定是否授予认证证书。

 

7.监督审核：认证机构将每年进行一次监督审核，以确保信息安全管理体系的持续有效性和符合性。

 

8.再认证审核：认证证书在有效期满前的三个月内，组织需要向认证机构申请再认证审核，以延长认证证书的有效期。

 

认证机构的审核员在完成对这些文件的第一次检查后，会前往申请证书的公司，并在此次开始现场审核工作。在该审计期间，观察由公司根据活动领域确定的信息安全控制是否根据标准执行。

 

根据审核员编写的报告，如果审核成功，认证机构将准备ISO 27001信息安全管理体系证书并将其交付给公司。

 

颁发此证书后，根据公司的要求，认证机构每年进行一次或两次修订审核。ISO 27001信息安全管理体系证书的有效期为三年。在此期间结束时，应重新进行认证研究，并续签证书。

 

ISO 27001适用于所有组织，从小到大，适用于任何部门(金融，健康，能源，教育，制造，公共和IT部门)。

 

ISO 27001信息安全管理系统是一个管理系统，包括提供公司信息安全的人员，流程和信息系统，并由高级管理层提供支持。它旨在保护信息资产，并提供充分和相称的安全控制，为相关方提供信心。ISO 27001信息安全管理系统包括公司结构，政策，计划活动，职责，实践，程序，流程和资源。

 

ISO 27001适用于所有组织，无论大小，无论是世界上哪个国家或行业。该标准在金融，医疗保健，公共和信息技术等重要领域尤为必要。ISO 27001对于代表其他人管理信息的组织也很重要，例如信息技术分包商。它可用于向客户保证其信息受到保护。

 

满足ISO 27001标准所有要求的组织现在可以通过申请认证机构申请证书。认证机构必须是经认可的机构。当该组织收到请求时，它首先通过它将请求的系统文档开始检查。要审查的文件必须包括组织的信息安全政策，风险评估报告，风险行动计划，合规声明，安全流程定义和应用说明。

 

认证机构的审核员在完成对这些文件的第一次检查后，会前往申请证书的公司，并在此次开始现场审核工作。在该审计期间，观察由公司根据活动领域确定的信息安全控制是否根据标准执行。

 

根据审核员编写的报告，如果审核成功，认证机构将准备ISO 27001信息安全管理体系证书并将其交付给公司。

 

颁发此证书后，根据公司的要求，认证机构每年进行一次或两次修订审核。ISO 27001信息安全管理体系证书的有效期为三年。在此期间结束时，应重新进行认证研究，并续签证书。