認證應由ISO27001認證的認證機構進行。認證將包括以下審計活動：

預評估：雖然不需要認證，但對于以前沒有ISO27001流程的組織，預評估是針對需要額外幫助以滿足ISO27001要求的組織進行的。通過審查公司的范圍、政策、程序和流程，識別認證前可能需要補救的任何空白，從而模擬認證過程。

階段1審核：審核組織范圍、政策、程序和流程，確認是否符合ISO27001的文件要求。

第二階段審計：組織完成第一階段后，第二階段將測試信息安全管理系統是否符合ISO27001和公司內部政策和程序。這包括訪談、書面證據檢查和組織過程觀察。

監控審核：為確保組織ISMS繼續符合ISO27001標準，在認證后兩年內進行監控審核。

ISO27001認證有效期為三年。