企業(yè)建立的信息管理體系要申請認證，必須滿足兩個基本條件：

（1）遵守中國的信息法律、法規(guī)和標(biāo)準(zhǔn)；

（2）ISO27001體系試運行滿3個月。

在滿足上述兩個重要前提下，ISO27001信息管理體系認證流程大致上分為以下四個階段：

一、受理申請方的申請：

申請認證的組織首先要綜合考慮各認證機構(gòu)的性、信譽和費用等方面的因素，然后選擇合適的認證機構(gòu)，并與其取得聯(lián)系，提出信息管理體系認證申請,認證機構(gòu)會提供相應(yīng)的認證申請書給擬申請認證的組織填寫。

認證機構(gòu)接到申請方的正式申請書之后，將對申請方的申請文件進行初步的審查，如果符合申請要求，與其簽訂管理體系審核/注冊合同，確定受理其申請。

二、信息管理體系審核：

在整個認證過程中，對申請方的信息管理體系的審核是關(guān)鍵的環(huán)節(jié)。認證機構(gòu)正式受理申請方的申請之后，迅速組成一個審核小組，并任命一個審核組長，審核組中至少有一名具有該審核范圍專業(yè)項目種類的專業(yè)審核人員或技術(shù)專家，協(xié)助審核組進行審核工作。

審核工作大致分為三步：

1.文件審核：

對申請方提交的準(zhǔn)備文件進行詳細的審查，這是實施現(xiàn)場審核基礎(chǔ)工作。申請方需要編寫好其信息管理體系文件，在審核過程中，若發(fā)現(xiàn)申請方的ISMS手冊不符合要求，則由其采取有效糾正措施直至符合要求。認證機構(gòu)對這些文件進行認真審核之后，如果認為合格，就準(zhǔn)備進入現(xiàn)場審核階段。

2.現(xiàn)場審核：

在完成對申請方的文件審查和預(yù)審基礎(chǔ)上，審核組長要制定一個審核計劃，告知申請方并征求申請方的意見，申請方接到審核計劃之后，如果對審核計劃的某些條款或安排有不同意見，立即通知審核組長或認證機構(gòu)，并在現(xiàn)場審核前解決好這些問題。解決好這些問題之后，審核組正式實施現(xiàn)場審核，主要目的就是通過對申請方進行現(xiàn)場實地考察，驗證ISMS手冊、程序文件和作業(yè)指導(dǎo)書等一系列文件的實際執(zhí)行情況，從而來評價該信息管理體系運行的有效性，判別申請方建立的信息管理體系和ISO27001標(biāo)準(zhǔn)是否相符合。

在實施現(xiàn)場審核過程中，審核小組每天都要進行內(nèi)部討論，由審核組長主持，全體審核員參加，對本次審核的結(jié)構(gòu)進行的評定，確定現(xiàn)場審核中發(fā)現(xiàn)的哪些不符合情況需寫成不符合項報告及其嚴重程度。

3.審核：

申請方按照審核計劃與認證機構(gòu)商定時間糾正發(fā)現(xiàn)的不符合項，糾正措施完成之后遞交認證機構(gòu)。認證機構(gòu)收到材料后，組織原來的審核小組的成員對糾正措施的效果進行審核。如果審核結(jié)果表明被審核方報來的材料詳細確實，則可以進入注冊階段的工作。

三、報批并頒發(fā)證書

根據(jù)注冊材料上報清單的要求，審核組長對上報材料進行整理并填寫注冊推薦表，該表后上交認證機構(gòu)進行復(fù)審，如果合格，認證機構(gòu)將編制并發(fā)放證書，將該申請方列入獲證目錄，申請方可以通過各種媒介來宣傳，并可以宣傳材料商加貼注冊標(biāo)識。

四、監(jiān)督檢查及復(fù)評換證

在證書有效期限內(nèi)，認證機構(gòu)對獲證企業(yè)進行監(jiān)督檢查，以保證該信息管理體系符合ISO27001標(biāo)準(zhǔn)要求，并能夠切實、有效地運行。證書有效期滿后，或者企業(yè)的認證范圍、模式、機構(gòu)名稱等發(fā)生重大變化后，該認證機構(gòu)受理企業(yè)的換證申請，以保證企業(yè)不斷改進和完善其信息管理體系。