當企業完成體系運行（至少 3 個月，確保有完整的運行記錄）后，即可向第三方認證機構申請認證。認證流程分為 5 個階段，總周期約 1-2 個月：

選擇合法合規的認證機構是關鍵，需關注兩個核心條件：機構需獲得認證認可監督管理委員會（CNCA）的批準（可在 CNCA 官網查詢 “認證機構名錄”）；機構需具備企業所屬行業的認證經驗（如金融企業優先選擇有金融行業信息安全認證案例的機構，醫療企業優先選擇熟悉醫療數據安全要求的機構）。常見的認證機構包括中國網絡安全審查技術與認證中心（CCRC）、方圓標志認證集團（CQM）、英國標準協會（BSI）、瑞士 SGS 等。

向認證機構提交《認證申請書》，并附以下材料：企業營業執照（復印件）；ISO27001 體系文件（手冊、程序文件清單）；體系運行記錄（如內部審核報告、管理評審報告、風險評估報告、應急演練記錄）；合規性證明文件（如網絡安全等級保護備案證明、數據安全合規自查報告）。認證機構會對材料進行初步審核，確認是否符合申請條件（如體系文件是否覆蓋標準要求、運行記錄是否完整）。

認證機構委派審核員，審查企業的體系文件，重點檢查：文件是否符合 ISO27001:2022 版標準要求（如是否包含資產盤點、風險評估、供應鏈安全管控流程）；文件是否結合企業實際（如是否覆蓋云計算、遠程辦公等業務場景）。若文件存在問題（如 “供應鏈安全管控流程缺失”“應急響應預案不完整”），企業需修改后重新提交審核，直至通過。

審核員到企業現場，通過 “查閱記錄、技術驗證、員工訪談” 等方式，驗證體系的實際運行情況：查閱記錄：檢查安全培訓記錄、風險評估報告、漏洞掃描記錄、安全事件處理記錄等，確認文件執行情況；技術驗證：檢查安全設備（如防火墻、加密工具）的配置是否符合要求，測試數據備份與恢復流程是否有效；員工訪談：隨機訪談不同崗位員工，了解其對信息安全方針、操作規范的掌握程度（如 “是否知道如何識別釣魚郵件”“客戶數據泄露后如何上報”）�，F場審核后，審核員會出具《審核報告》，若存在不符合項，企業需在規定期限內（通常 1-3 個月）完成整改，并提交整改證據（如整改后的流程文件、技術配置截圖）。

認證機構對《審核報告》和整改證據進行評審，若符合要求，將頒發 ISO27001 認證證書，證書有效期為 3 年。證書有效期內，認證機構會每年開展 1 次 “監督審核”，檢查體系的持續運行情況（如 “是否新增安全風險”“目標是否持續達成”“供應鏈安全是否管控到位”）；3 年有效期滿后，企業需申請 “再認證”，流程與次認證類似，但審核重點會更側重 “持續改進效果”（如安全績效的提升、新興風險的應對）。