風險評估：對組織信息資產(chǎn)進行資產(chǎn)價值、威脅因素、脆弱性分析，從而評估組織信息安全風險，選擇適當?shù)拇胧?、方法實現(xiàn)管理風險的目的。

管理策劃：根據(jù)組織對信息安全風險的策略，制定相應的信息安全整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等，形成完整的信息安全管理系統(tǒng)。

認證審核階段：經(jīng)過一定時間運行，ISMS達到一個穩(wěn)定的狀態(tài)，各項文檔和記錄已經(jīng)建立完備，此時，可以提請進行認證。

ISO27001信息安全管理體系的認證流程
　　認證前---認證中----認證后
　　前期涉及準備有：公司簡介（文字介紹）、公司營業(yè)執(zhí)照（副本）、公司組織機構(gòu)代碼證、組織結(jié)構(gòu)圖、公司網(wǎng)絡拓撲圖、操作系統(tǒng)設置、網(wǎng)絡環(huán)境設置

申報ISO27001信息安全管理體系需要的時間：?按照ISO27001:2013標準要求，ISO27001信息安全管理體系應在企業(yè)內(nèi)部運行的時間是三個月，第四個月可申請認證。 但是因為各個企業(yè)的原有管理水平不同，轉(zhuǎn)化為ISO27001信息安全管理體系的時間就不同。

全力推行標準的企業(yè)：大約需要3－6個月的時間。前期培訓、組織機構(gòu)設置、文件編寫、文件修改大約需要1個月的時間，接著有三個月的運行期間。申請認證、現(xiàn)場審核、認證通過、頒發(fā)證書一般一個月左右。