申请ISO27001信息安全管理体系认证，主要需要经过以下几个流程：

首先，为了降低风险，提高通过率，企业最好先选择一家咨询公司进行辅导~事半功倍~

然后在咨询公司的帮助下建立信息安全管理体系，并通过内审和管评。

再由咨询公司推荐或者企业自己选择合适的认证机构，并向机构提交认证申请书、手册、程序文件等资料。

认证机构受理后，会安排审核员进行现场审核，审核结束以后，一般会进行不符合项的整改，整改完成后，就可以获得ISO27001证书啦~

1、按照ISO27001标准要求建立体系框架;

2、体系建立后，需要运行一段时间，最少三个月，产生三个月的运行记录;

3、向认证机构递交审核申请;

4、认证机构评估费用和正式审核时间;

5、认证机构将进行预审，在正式审核前排除一些重大的确失，同时让客户熟悉审核的方法危险评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方;

6、认证机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证机构通常将现场审核并给出建议;

7、如果能顺利完成审核，在确定清楚认证范围后，发放信息安全体系证书。在满足持续审核情况下，三年有效。

接触过一些评估项目。 不是认证。

1.访谈高层，了解架构。

2.访谈企业的安全部门，获取相关文件，比如各种管理规章制度。进行文件的审阅。

在审阅中，和iso27001进行各个控制点的比对，看看有没有缺少的点。

3.然后根据iso27001的各个控制域和所掌握的文档，进行各个部门的访谈和实际参观。

在参观中，来确认是否有实际的落实。

4.收集一些清单，记录，比如员工权限记录，核心组件的监控日志和网络架构。

通过更具体更技术的方法，来检验落实的情况和评分。