ISO27001標準要求組織建立和維護一個文件化的信息安全管理系統，其中應闡述需要保護的資產、組織風險管理的渠道、控制目標和控制方法以及所需的保證程度。

 

在建立和完善信息安全管理體系時，不同的組織可以根據自己的特點和具體情況采取不同的步驟和方法。但一般來說，建立信息安全管理體系一般要經過以下四個基本步驟:信息安全管理體系的規劃和準備；信息安全管理體系文件的編制；信息安全管理體系的運行；信息安全管理體系的審查和評估。

 

認證過程的詳細步驟如下:
1.現場診斷；
二是確定信息安全管理體系的方針、目標；
3.明確信息安全管理體系的范圍，根據組織的特點、地理位置、資產和技術確定界限；
四是對管理層進行信息安全管理系統基礎知識培訓；
五是信息安全系統內部審核員培訓；

 

 

六是建立信息安全管理機構；
7.實施信息資產評估和分類，識別資產的威脅、薄弱環節和對組織的影響，確定風險程度；
8.根據組織的信息安全政策和所需的保障程度，通過風險評估確定應實施管理的風險，確定風險控制手段；
9.制定信息安全管理手冊和各種必要的控制程序；
10.制定適用性聲明；

 

 

11.制定商業可持續發展計劃；
12.審核文件，發布實施；
13.系統運行，有效實施所選控制目標和控制方法；
14.內部審核；
15.外部第一階段認證審核；

 

 

16.外部第二階段認證審核；
17.頒發證書；
18.系統持續運行/年度監督審核；
19.復審(證書三年有效)。