認證應由ISO27001認證的認證機構進(jìn)行。認證將包括以下審計活動(dòng)：

預評估：雖然不需要認證，但對于以前沒(méi)有ISO27001流程的組織，預評估是針對需要額外幫助以滿(mǎn)足ISO27001要求的組織進(jìn)行的。通過(guò)審查公司的范圍、政策、程序和流程，識別認證前可能需要補救的任何空白，從而模擬認證過(guò)程。

階段1審核：審核組織范圍、政策、程序和流程，確認是否符合ISO27001的文件要求。

第二階段審計：組織完成第一階段后，第二階段將測試信息安全管理系統是否符合ISO27001和公司內部政策和程序。這包括訪(fǎng)談、書(shū)面證據檢查和組織過(guò)程觀(guān)察。

監控審核：為確保組織ISMS繼續符合ISO27001標準，在認證后兩年內進(jìn)行監控審核。

ISO27001認證有效期為三年。