认证应由ISO27001认证的认证机构进行

认证应由ISO27001认证的认证机构进行。认证将包括以下审计活动：

预评估：虽然不需要认证，但对于以前没有ISO27001流程的组织，预评估是针对需要额外帮助以满足ISO27001要求的组织进行的。通过审查公司的范围、政策、程序和流程，识别认证前可能需要补救的任何空白，从而模拟认证过程。

阶段1审核：审核组织范围、政策、程序和流程，确认是否符合ISO27001的文件要求。

第二阶段审计：组织完成第一阶段后，第二阶段将测试信息安全管理系统是否符合ISO27001和公司内部政策和程序。这包括访谈、书面证据检查和组织过程观察。

监控审核：为确保组织ISMS继续符合ISO27001标准，在认证后两年内进行监控审核。

ISO27001认证有效期为三年。