27001信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。那么27001 具体审核流程有哪些呢？

  一、现状研究

  从日常运维、管理机制、系统配置等方面调查贵公司信息安全管理的安全状况，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。 包括：

  (1) 项目启动：初步沟通、实施计划、项目团队、资源支持、启动会议。

  (2) 初步培训：信息安全管理基础、风险评估方法。

  (3)现状评估：初步了解信息安全现状，分析与ISO27001标准要求的差距。

  (4) 业务分析：访谈和调查、核心和支持业务、业务资源需求、业务影响分析。

  2. 风险评估

  对贵公司的信息资产进行资产价值、威胁因素、脆弱性分析，以评估贵公司的信息安全风险，选择适当的措施和方法来达到管理风险的目的。

  (1)资产识别：识别贵公司的各种信息资产。

  (2) 风险评估：识别和评估重要资产、威胁、弱点和风险。

  3、管理规划

  根据贵公司的信息安全风险战略，制定相应的信息安全总体规划、管理规划、技术规划等，形成完整的信息安全管理体系。

  （1）文件准备：准备各级ISMS管理文件，审核修改，并与管理层讨论确认。

  （2）发布与实施：ISMS实施计划、体系文件发布、控制措施实施。

  （3）中期培训：全员安全意识培训、ISMS实施推进培训、必要考核。

  ISO27001体系认证

  四、系统实现

  ISMS建立后（系统文件正式发布实施），必须通过一定时期的试运行检验其有效性和稳定性。

  （1）认证申请：与认证机构协商，准备认证材料，制定认证计划，预审核。

  （2）岗位培训：对审核员等岗位进行专业技能培训。

  （3）内部审核：审核计划、检查表、内部审核、不符合项整改

  （4）管理评审：信息安全管理委员会组织对ISMS的纠正和预防措施进行全面评审。

  5、认证审核

  经过一段时间的运行，ISMS 已达到稳定状态，并建立了各种文件和记录。 这时候就可以提交认证了。

  （1）认证准备：准备审核文件，安排审核项目部署。

  （2）协助认证：内部审核组陪同并协助处理审核问题。