一、ISO27001企業信息安全管理體系認證流程

1、認證的準備

在認證之前，認證方與被認證方都要進行相應的準備活動。被認證方需要按照ISO/IEC 27001建立信息安全管理體系，在確認滿足認證基本條件的情況下，被認證方向認證機構遞交正式申請；認證機構對認證方的申請資料進行初步檢查，確定是否受理申請。如受理申請，認證機構將評估認證費用和正式審核時間。

2、認證的實施

第一階段：文件審核與初訪

第一階段主要是從總體上了解受審核方ISMS的基本情況，確認受審核方是否具備認證審核條件，為第二階段的審核策劃提供依據。審核的重點在于審核ISMS文件是否符合ISO 17799標準的要求。了解受審核方的活動、產品或服務的全過程，判斷風險評估與風險管理狀況，并對受審核方ISMS的策劃及內審情況等進行初步審查。

第二階段：全面審核與評價

第二階段審核是對信息安全管理體系的全面審核與評價，目的是驗證組織的信息安全管理體系是否按照認證標準與組織體系文件要求予以有效實施，組織的安全風險是否被控制在組織可以接受的水平內，根據審核發現對組織的信息安全管理體系運行狀況是否符合標準與文件規定做出判斷，并據此對受審核方能否通過信息安全管理體系認證做出結論。

3、證書與標志

組織采取了必要的糾正措施之后，并由認證機構驗證通過，認證機構將為組織頒發ISMS證書，證書包括下述內容：

關于認證組織的信息

組織全稱，涉及到的相關組織

業務的相關地點

業務的流程

相關的業務功能與活動

認證的范圍

適用性聲明和特定版本的描述

關于信息安全系統滿足ISO/IEC27001認證標準的聲明

證書開始生效的時間

證書號

只有認證機構認可了組織的認證范圍，才能在證書上顯示認可標志。

4、維持認證

審核和證書頒布并不代表認證結束。認證機構將繼續監控ISMS符合標準的情況，通過執行每年至少一次的監督審核。這些監督審核的重點是抽樣檢查系統的某些領域，所以比最初的審核時間短，審核時間約為初始現場審核時間的三分之一。盡管審核團隊可能會隨時間不同而變化，但是對他們的能力要求和最初審核人員是一樣的。

被認證機構有義務通知認證機構組織所發生的可能影響到系統或者證書的變更。這些變更包括：如，組織變更，人員變更，業務核心變更，技術變更，外部接口變更。

認證的有效期一般為三年。三年之后，系統需要認證機構重新進行審核。

二、ISO27001體系認證費用

組織在具備體系認證的基本條件時，就可以尋求認證機構申請體系認證。組織在選定認證機構后，就可以與之聯系提交認證申請，在雙方協商一致的情況下簽訂認證合同，認證費用是按照審核員的審核人天數（包括文件審核與完成審核報告的人天）與每人天的審核價格來計算。不同的認證機構費用標準也不相同。認證合同中應明確認證機構保守組織商業秘密，在組織現場遵守組織的有關信息安全規章的要求。審核所需的人天數取決于以下因素：

受審核的員工數

持有的信息量

場所數據與地理位置分布

與外界的接觸面

所利用的信息技術的復雜程度

組織是否已具有一個相關的管理體系認證證書，如ISO9001

業務功能

企業類型

風險程度