認證應由ISO27001認證的認證機構進行。認證將包括以下審計活動：

預評估：雖然不需要認證，但對于以前沒有ISO27001流程的組織，預評估是針對需要額外幫助以滿足ISO27001要求的組織進行的。通過審查公司的范圍、政策、程序和流程，識別認證前可能需要補救的任何空白，從而模擬認證過程。

階段1審核：審核組織范圍、政策、程序和流程，確認是否符合ISO27001的文件要求。

第二階段審計：組織完成第一階段后，第二階段將測試信息安全管理系統(tǒng)是否符合ISO27001和公司內(nèi)部政策和程序。這包括訪談、書面證據(jù)檢查和組織過程觀察。

監(jiān)控審核：為確保組織ISMS繼續(xù)符合ISO27001標準，在認證后兩年內(nèi)進行監(jiān)控審核。

ISO27001認證有效期為三年。