1、提出申请：

　　待ISMS稳定运行一段时间之后，可以考虑提出审核申请。可以进行27001审核的机构在国内有BSI(英国标准化协会)和DNV(挪威船级社)等。

　　国内的认证机构有(华夏认证中心、中国信息安全认证中心，上海质量体系审核中心，中国电子技术标准化研究所)

　　2、预审：

　　预审核(Pre-assessment Audit)也称预审，是在第一阶段审核之前执行的一种非强制性要求的非正式审核。从本质上看，预审是正式审核的预演或排练。许多组织都没有采用预审核。

　　预审是审核员通过使用“差距分析”方法，分析和检查组织的ISMS与ISO/IEC 27001：2005要求的差距，包括(但不仅限于)：

　　分析ISMS方针与程序，组织当前的业务保护情况；

　　检查ISMS是否与其实际业务融合一起；

　　检查ISMS是否符合正式审核的基本条件；

　　检查组织还有哪些未能按照标准要求进行运行的领域，包括员工的安全意识和员工是否知道ISMS等；

　　检查ISMS运行的时间长度。

　　注：预审也是要收费的！

　　3、现场审核

　　桌面审核(文件审核)的结果作为现场审核输入。

　　现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报告审核结果等。

　　审核内容

　　验证第一阶段的审核发现是否获得纠正。

　　证实受审核组织是否按照其方针、目标和程序，执行工作。

　　证实受审核组织的ISMS是否符合ISO/IEC 27001:2005第4-8章的所有要求

　　4、获得证书：

　　所有审核工作结束并达到要求后，用户会得到证书。

　　每年认证公司需要进行复审，以验证体系的持续符合性。三年时，证书期满，需要重新审核。