ISO27001认证的流程：

（一）咨询阶段

      咨询阶段是组织进行信息安全管理体系认证的启动阶段。组织应结合自身的实际情况，选择咨询机构，应与组织就信息安全管理体系认证的目的、意义及需要提供的服务等进行沟通，并与组织共同制定信息安全管理体系认证的计划。

（二）申请阶段

      申请阶段是组织进行信息安全管理体系认证的准备阶段，在此阶段，组织应将自身需求、信息安全管理体系的基本情况及认证范围等信息进行告知，并根据认证机构要求准备相关文件和资料，必要时，应将相关文件送交认证机构，以便获得审核所需的文件。

     申请ISO27001认证的企业应建立符合ISO27001标准要求的信息安全管理体系，在申请认证之前应完成内部审核和管理评审，并保证体系运行不少于三个月。     

      组织应向认证机构提供信息安全管理体系运行的充分信息，对于多现场应说明各场所的认证范围、地址及人员分布等情况，认证机构将确定相关审核方案。

      组织应制定信息安全管理体系文件，包括但不限于组织信息安全管理体系的结构和内容、信息安全管理体系文件的编写要求、信息安全管理体系的运行、维护及改进；

      组织应建立文件化的信息安全管理体系运行状况记录，记录包括但不限于体系的运行状态、持续改进情况、相关方评价意见等，并保持其有效性和充分性；

      认证机构将组织提交的文件和记录审核后，根据相应程序确定其符合性并作出认证决定。

      认证分两个阶段进行：第一阶段审核，主要进行文件审核并确认第二阶段审核准备的充分性；第二阶段审核，主要对体系的符合性和有效性进行评价，作出现场审核的推荐结论。认证机构将在认证过程中实施以下活动：

      组织是否具备信息安全管理体系文件；

     信息安全管理体系文件是否符合 ISO27001认证的要求，包括：

（1）组织的基本情况和组织的内外部环境；（2）组织的风险分析，包括组织面临的信息安全威胁、面临的机遇、组织存在的风险和机遇，以及影响组织实现目标的主要因素；（3）信息安全管理体系所覆盖的范围。

       认证机构对申请认证组织进行初步审核，审核结果符合认证要求时，认证机构签发《信息安全管理体系证书》。

       企业获得的ISO27001认证证书有效期3年，获得认证后每年进行一次监督。认证机构应制定现场审核方案，对组织的信息安全管理体系进行审核，并根据审核情况决定是否出具证书。对于符合认证要求的组织，认证机构将签发《信息安全管理体系证书》；对于不符合认证要求的组织，认证机构将出具《不符合信息安全管理体系现场审核意见》。

      组织应根据《信息安全管理体系证书》的有效期限及时进行后续的监督，并将监督结果书面告知认证机构。

      组织应每年对信息安全管理体系运行状况进行一次自评，并向认证机构提供年度自评报告。在认证有效期内，组织应在每年1-6月的期间内进行一次年度监督，并按《信息安全管理体系证书》有效期的要求进行持续监督。