ISO27001提供了由一个认证机构对一个组织的信息安全管理体系进行独立审计和认证的规范。如果信息安全管理体系被认为符合规范要求,组织可以被发放正式的证书以确认之。
认证机构
认证是由独立的,可信的认证机构进行的。它们在不同的国家有不同的叫法,包括‘注册机构‘,‘评估和登记机关‘,‘认证/注册中心‘和‘登记司‘等等。无论他们被如何称呼,他们都在做同样的事情,并接受同样的要求。
经认可的认证机构是一个已经证明完全符合任何国际和国家标准规定的认证机构。
认证流程
对于已经通过 ISO 9000或任何其他管理体系标准认证的任何组织,该认证流程将会非常熟悉。
认证机构将分两个阶段发起审核流程。第一阶段将进行文件的审查(可能包括也可能不包括预认证的访问),这将使审计人员进行首次实际的正式访问以便能:
熟悉该组织机构;
对文件进行审查;
确保 ISMS 得到了足够的开发,已经能够接受正式的审计;
获取足够的关于该组织的信息,以及认证的目的和范围,以便有效地准备他们的审计。
这次访问是通常时间比较短,取决于组织的规模,可能只需要一两天。在作出访问之前,一些组织将开展远程文件审查。