在信息安全管理体系方面，ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。

BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准----- ISO/IEC17799：2000《信息技术-信息安全管理实施细则》，后来该标准已升版为ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式发布，2002版标准主要在结构上做了修订，引入了PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年，BS 7799-2: 2002正式转换为国际标准ISO/IEC27001：2005。

1、自评估

组织在中国信息安全认证中心网站下载《信息安全服务资质认证自评估表-管理》=对应的技术自评估表，并实施自评估。

2、认定申请

组织依据信息安全服务资质认证程序、认证实施规则中相关要求，确定申请服务资质类别，并填写《信息安全服务资质认证申请书》。

组织向中国信息安全认证中心提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。

3、申请材料评审

中心依据认证程序和相关标准要求，对申请组织提交的认证相关材料进行评审，并确定申报资质类别和级别，签订认证合同。

4、现场评审

认证机构组织评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。特别，对申请一级资质认证的组织，必要时选择申请组织的客户进行项目实施现场见证。

现场验证符合要求后，认证机构组成评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。

5、认证决定

认证决定委员会由3名以上（含3名）奇数认证决定人员组成，作出认证决定。

6、证书颁发

对于符合认证要求的申请组织，颁发认证证书，并予以公示。

7、证后监督

（1）证后监督频次和方式

对获证组织实施监督，每年度（不超过12个月）进行一次监督评审。

当获得组织发生重大变更、事故或客户投诉时，可增加现场监督评审的频次。

（2）证后监督内容

     监督评审除包括初次评审的内容外，还应对上一次评审中提出的观察项所采取纠正/预防措施进行验证。

（3）证后监督结论

     对于通过监督评审的获证组织，做出维持认证证书有效的决定；否则，暂停或撤销其认证证书。

（4）信息通报

     为确保获证组织的安全服务能力持续有效，获证组织应建立信息通报渠道，及时报告以下信息：

a、组织机构变更信息

b、安全事故、客户投诉信息

c、其他重要信息