ISO27001信息安全管理体系认证证书的审核流程是怎样的？

ISO27001信息安全管理体系认证的审核流程遵循国际通用的合规性审核规范，核心分为认证前准备、正式审核（一阶段+二阶段）、审核后整改与发证、证书维持四大阶段，其中**一阶段（文件审核）+二阶段（现场审核）**是核心审核环节，所有CNAS认可机构的审核流程均统一此标准，2026年申报无流程调整，以下是全流程详细拆解（含关键节点、审核重点、企业配合要求）：

一、认证前准备阶段（企业自主完成，核心是体系落地）

这是审核的前提，未完成则无法提交认证申请，也是决定审核通过率的关键，耗时通常3-6个月（按企业规模/基础不同波动）。

核心工作：按ISO27001:2022标准建立ISMS并有效运行≥3个月，完成资产识别、风险评估、内部审核、管理评审，编制全套体系文件（方针、手册、程序文件等）并留存完整运行记录；

申请提交：企业选择CNAS认可的认证机构，提交认证申请书、主体资质（营业执照）、体系文件清单、运行时长声明等材料，机构审核材料齐全性后，签订认证合同并确定审核计划；

关键要求：体系运行记录需连续、真实，不可突击补材料，否则会直接导致审核不通过。

二、正式审核阶段（认证机构执行，核心分两阶段）

审核由机构委派具备ISO27001审核资质的审核组执行，两阶段审核均需企业全程配合，审核组最终出具审核报告，明确通过/不通过/带条件通过。

第一阶段审核：文件审核+初步现场核查（线上/线下结合，1-3个工作日）

1.审核形式

小微型企业可纯线上（远程查阅文件、视频核查），中大型企业/特殊行业（金融、电信）需线下现场核查，审核组通常1-2人。

2.核心审核重点

体系文件的合规性：是否符合ISO27001:2022全部条款，新增控制项（供应链安全、云服务安全、隐私保护）是否落地；

体系的适宜性：文件是否匹配企业实际业务，认证范围是否清晰、无超范围申报；

运行的基础性：是否完成内部审核、管理评审，风险评估报告是否完整，核心记录（如培训、访问控制）是否有留存；

现场初步核查：确认企业有真实的业务运营场景，与申报的认证范围一致，无虚假申报。

3.审核结果与后续

通过：直接进入二阶段审核计划，确定二阶段现场审核时间；

带问题通过：提出轻微不符合项，企业限期（通常3-5个工作日）整改并提交整改证据，审核组验证通过后进入二阶段；

不通过：体系文件存在重大缺陷（如缺核心条款、与标准不符），企业需重新修改文件，整改完成后重新申请一阶段审核。

第二阶段审核：现场全面审核（必须线下，按企业规模定工作日）

1.审核形式

全线下现场审核，审核组人数按企业规模/认证范围定：小微型企业1-2人（1-2个工作日），中大型企业3-5人（3-7个工作日），集团型企业会分多场地审核。

2.核心审核重点

全要素、全流程、全岗位核查体系的实际有效运行，而非仅看文件，是审核的核心环节：

体系落地：各部门是否按文件执行，如IT部的防火墙配置、行政部的物理机房管理、人事部的安全培训；

记录真实性：运行记录（备份日志、事件处置记录、审核记录）是否连续、可追溯，是否与实际操作一致；

岗位履职：随机访谈各岗位人员（高层、安全负责人、普通员工），验证其是否掌握信息安全职责与操作规范；

整改有效性：若一阶段有不符合项，核查整改措施是否落地、是否形成闭环；

持续改进：是否有针对体系运行问题的改进计划，管理评审是否真正推动体系优化。

3.审核现场输出

审核组现场召开末次会议，向企业高层反馈审核结果，明确三类结论：

无不符合项，直接通过：体系完全符合标准，无需整改；

带轻微/一般不符合项通过：存在非核心问题，企业限期（通常15-30个工作日）提交整改报告+证据，审核组远程验证通过即可；

存在严重不符合项，不通过：体系存在核心缺陷（如未做风险评估、关键控制措施未落地、记录造假），企业需全面整改后，重新申请二阶段审核。

三、审核后整改与发证阶段

整改验证：企业按审核组要求完成整改，提交整改材料，审核组完成书面验证/远程复核，确认所有问题闭环；

证书审批：认证机构对审核报告、整改结果进行内部审批，确认无误后制作证书；

发证与公示：审核通过后10-20个工作日内，机构向企业发放ISO27001认证证书（纸质+电子），并将证书信息上传至国家认监委平台、机构官网公示，公示后可查询核验。

四、证书维持阶段（审核流程延伸，保障证书持续有效）

证书有效期3年，此阶段的审核为监督审核+再认证审核，属于后续合规审核，流程简化但核心要求不变：

年度监督审核：获证后第12、24个月各1次，线下现场审核，重点抽查体系持续运行情况、整改措施落地、新增业务/资产的安全管控，流程类似简化版二阶段，未通过则暂停/撤销证书；

再认证审核：获证后第3年证书到期前3-6个月启动，全流程现场审核，强度接近初次认证的一+二阶段，全面复核体系有效性，通过后换发新证书，有效期重新计算3年。

五、企业各阶段核心配合要求

一阶段：提前整理全套体系文件、运行记录，安排专人对接审核组，配合远程/现场查阅；

二阶段：各部门提前梳理本岗位安全操作与记录，安排相关人员配合访谈，开放现场（机房、办公区、服务器室）供核查；

整改阶段：按审核组要求针对性整改，整改证据需真实、可追溯，避免形式化整改；

维持阶段：持续留存体系运行记录，按时完成内部审核、管理评审，配合机构的监督/再认证审核。

六、关键注意事项

审核流程无捷径：所有认可机构均需执行一+二阶段审核，不存在“免审核、快速发证”的正规渠道，谨防虚假机构；

不符合项整改闭环是关键：轻微/一般不符合项需按时整改并提供有效证据，未闭环则无法发证；

审核组独立性：审核组仅对标准和认证机构负责，企业不得干预审核过程，不得提供虚假材料，否则会直接取消审核资格。

我们可以帮你整理一份ISO27001审核全流程配合清单（按一阶段/二阶段拆分，含企业需准备的材料、对接人员、配合事项），方便你提前做好审核准备，需要吗？

特别提醒：

卓航咨询可为大、中、小型企业提供体系认证、资质认证、知识产权、项目申报、荣誉证书等的咨询代理一站式服务。咨询热线:

13927449225（杨老师）

13725532758（黎老师）

13794487312（彭老师）

以上联系方式微信同号