ISO27001信息安全管理体系认证作为国际公认的信息安全标准，在中国市场实施必须符合中国的认证认可法规。那么，ISO27001认证证书究竟是哪个部门审批的？实际上，中国的认证监管体系分为几个层级：国家市场监督管理总局及其下属的国家认证认可监督管理委员会（CNCA）负责对认证机构的资质审批，而经批准的认证机构则具体负责对企业进行认证审核并颁发证书。

简单来说，认证机构的"发证资格"由国家相关部门审批，而企业的"认证证书"由这些有资质的认证机构审批颁发。这种分级管理机制既确保了认证的权威性，又提高了认证效率。

01 中国认证认可监管体系：国家级审批部门职能解析

中国的认证认可监管体系具有明确的层级结构。国家认证认可监督管理委员会（CNCA）​ 是国务院授权的统一管理、监督和综合协调全国认证认可工作的主管机构，负责统一制定认证认可工作的方针政策及相关规章制度。

具体执行认证机构资质审批的是国家市场监督管理总局认证监督管理司。该部门负责受理认证机构的申请，进行审核并作出是否批准的决定。根据《中华人民共和国认证认可条例》的规定，任何认证机构在中国境内从事认证活动，必须经国家认监委批准后方可开展相关业务。

认证机构资质审批的法定办理时限为45个工作日，专家评审时间不超过30个工作日（此项不纳入审批时限）。审批通过后，认监委会在10个工作日内在官方网站上公布获批认证机构的名录及业务范围。

02 认证机构资质条件：审批的核心要求

认证机构要获得ISO27001认证资质，必须满足一系列严格条件。这些条件确保了认证机构具备开展信息安全管理体系认证的专业能力。

首先，机构需经国家认监委批准并具有三年以上ISO9001质量管理体系认证从业资格。这一要求确保了认证机构具备扎实的管理体系认证基础和经验积累。

在人员配置方面，认证机构必须在ISO27001领域有10名以上专职审核员。这些审核员需要满足多项条件：与认证机构签订劳动合同的正式职员；信息安全相关专业本科以上学历并取得相应学位证书；有从事与信息技术有关的质量管理体系认证经历；三年内没有违反认证人员管理相关规定的记录；取得ISO27001认证领域国家注册审核员资格。

此外，认证机构还需满足两年内没有违反认证认可法规的记录，与信息技术有关的质量管理体系认证业务范围的认证能力符合GB/T27021-2007要求，且在提交申请前两个年度内的认可评审中没有严重不符合项。

表：ISO27001认证机构资质核心要求

要求类别​	具体条件​	审核标准​
基本资质	经CNCA批准，具有3年以上ISO9001认证经验	《认证认可条例》
人员要求	10名以上专职审核员，特定学历和专业背景	认监委公告要求
合规记录	两年内无违规记录，无严重不符合项	认证认可监管规定
技术能力	符合GB/T27021要求，具备相应认证能力	认可规范要求

03 审批流程：从申请到获准的完整路径

认证机构资质审批遵循严格的法定程序。首先，符合条件的认证机构需通过"认证认可行政审批在线服务系统"​ 提交申请。

国家认监委按照法定程序对受理的申请进行审核，符合从业条件的认证机构批准后换发具有信息安全管理体系认证资质的《认证机构批准书》。批准信息会在国家认监委网站上公布，方便企业和公众查询监督。

对于具有国家相关部门颁发保密资质证书的认证机构，在《认证机构批准书》中会标注其保密资质信息。这一特殊规定体现了对涉密信息系统认证的特殊管理要求。

前期获准开展ISO27001信息安全管理体系认证试点工作的认证机构，无需再次提交申请。认监委按照统一条件对这些机构进行审核，符合条件的换发《认证机构批准书》，不符合条件的要求限期整改，逾期不达标的将注销相应的认证资格。

04 获准认证机构示例：权威认证服务提供商

目前，中国已有多个权威机构获准提供ISO27001认证服务。中国网络安全审查技术与认证中心​ 是其中一个重要代表，该中心直接隶属于国家市场监督管理总局，已为多个重要部门颁发了ISO27001认证证书。

2023年5月，该中心为应急管理部大数据中心、中国人民银行征信中心、深圳证券交易所、中国建设银行股份有限公司运营数据中心等机构颁发了信息安全管理体系认证证书。这些案例体现了国家权威认证机构在重要信息系统认证中的支撑作用。

认证机构在获批后需要按照统一要求及时向国家认监委上报相关认证信息，确保认证活动的透明度和可追溯性。此外，中国合格评定国家认可中心（CNAS）和中国认证认可协会（CNCA）会建立和完善信息安全管理体系认证机构认可制度和审核员注册制度，形成完整的认证生态系统。

05 证书有效性查询：如何辨别真伪

企业获得ISO27001认证证书后，如何确认证书的真伪和有效性？最权威的途径是通过国家认监委（CNCA）官方网站进行查询。

所有通过认证且合法的ISO27001证书均可在CNCA网站上进行查询。这一机制保障了认证市场的秩序，防止无效证书或虚假证书的流通。

需要注意的是，国外认证机构如果没有在国内CNCA备案，即使其得到了UKAS或者ANAB等国外认可机构的认可，也不符合中国法律法规要求，此类机构颁发的证书被视为违规操作，一经发现将会被CNCA处罚并公示证书在国内无效。

因此，企业在选择认证机构时，务必首先确认该机构是否具备CNCA批准的相应资质，这是确保认证有效性的前提条件。同时，ISO27001认证证书有效期为三年，期间需要接受发证机构的监督审核（年审），证书到期后需进行再认证。

06 企业申请认证：从准备到获证的实用指南

企业要获得ISO27001认证证书，需要经过一系列准备和申请流程。首先，企业需建立符合标准要求的信息安全管理体系，并实施运行至少3个月以上。

在体系运行期间，企业需完成至少一次内部审核和管理评审，确保体系的有效性和符合性。同时，企业在体系运行期间及建立体系前的一年内不能受到主管部门的行政处罚。

申请认证时，企业需要向认证机构提交一系列文件，包括但不限于：认证申请书、营业执照副本、组织机构代码证、信息安全管理体系文件、风险评估报告、适用性声明等。

认证机构受理申请后，会进行两个阶段的审核：第一阶段是文件审核，评估体系文件的符合性；第二阶段是现场审核，验证体系运行的有效性。审核通过后，认证机构将颁发ISO27001认证证书。

ISO27001认证证书的审批监管体系体现了国家对信息安全管理的高度重视。国家市场监督管理总局（认监委）负责认证机构资质的审批监管，而获得资质的认证机构则负责具体的企业认证审核工作。

无论是认证机构资质审批还是企业认证申请，都遵循严格的标准和流程，确保ISO27001认证的权威性和有效性。企业在选择认证服务时，务必确认认证机构是否具备国家认监委批准的相应资质，这是获得有效认证的关键前提。