ISO27001標準要求組織建立和維護一個(gè)文件化的信息安全管理系統，其中應闡述需要保護的資產(chǎn)、組織風(fēng)險管理的渠道、控制目標和控制方法以及所需的保證程度。

在建立和完善信息安全管理體系時(shí)，不同的組織可以根據自己的特點(diǎn)和具體情況采取不同的步驟和方法。但一般來(lái)說(shuō)，建立信息安全管理體系一般要經(jīng)過(guò)以下四個(gè)基本步驟:信息安全管理體系的規劃和準備；信息安全管理體系文件的編制；信息安全管理體系的運行；信息安全管理體系的審查和評估。

認證過(guò)程的詳細步驟如下:
1.現場(chǎng)診斷；
二是確定信息安全管理體系的方針、目標；
3.明確信息安全管理體系的范圍，根據組織的特點(diǎn)、地理位置、資產(chǎn)和技術(shù)確定界限；
四是對管理層進(jìn)行信息安全管理系統基礎知識培訓；
五是信息安全系統內部審核員培訓；

六是建立信息安全管理機構；
7.實(shí)施信息資產(chǎn)評估和分類(lèi)，識別資產(chǎn)的威脅、薄弱環(huán)節和對組織的影響，確定風(fēng)險程度；
8.根據組織的信息安全政策和所需的保障程度，通過(guò)風(fēng)險評估確定應實(shí)施管理的風(fēng)險，確定風(fēng)險控制手段；
9.制定信息安全管理手冊和各種必要的控制程序；
10.制定適用性聲明；

11.制定商業(yè)可持續發(fā)展計劃；
12.審核文件，發(fā)布實(shí)施；
13.系統運行，有效實(shí)施所選控制目標和控制方法；
14.內部審核；
15.外部第一階段認證審核；

16.外部第二階段認證審核；
17.頒發(fā)證書(shū)；
18.系統持續運行/年度監督審核；
19.復審(證書(shū)三年有效)。