認(rèn)證應(yīng)由ISO27001認(rèn)證的認(rèn)證機(jī)構(gòu)進(jìn)行。認(rèn)證將包括以下審計(jì)活動(dòng)：

預(yù)評(píng)估：雖然不需要認(rèn)證，但對(duì)于以前沒(méi)有ISO27001流程的組織，預(yù)評(píng)估是針對(duì)需要額外幫助以滿足ISO27001要求的組織進(jìn)行的。通過(guò)審查公司的范圍、政策、程序和流程，識(shí)別認(rèn)證前可能需要補(bǔ)救的任何空白，從而模擬認(rèn)證過(guò)程。

階段1審核：審核組織范圍、政策、程序和流程，確認(rèn)是否符合ISO27001的文件要求。

第二階段審計(jì)：組織完成第一階段后，第二階段將測(cè)試信息安全管理系統(tǒng)是否符合ISO27001和公司內(nèi)部政策和程序。這包括訪談、書面證據(jù)檢查和組織過(guò)程觀察。

監(jiān)控審核：為確保組織ISMS繼續(xù)符合ISO27001標(biāo)準(zhǔn)，在認(rèn)證后兩年內(nèi)進(jìn)行監(jiān)控審核。

ISO27001認(rèn)證有效期為三年。