初步准备阶段：

 

- 对现有信息安全体系进行初步评估。

 

- 创建项目团队负责整个认证过程。

 

- 定义信息安全政策和其他必要文档。

 

风险评估阶段:

 

- 进行信息安全和脆弱性分析。

 

- 确定重要信息资产及其安全需求。

 

- 设计并优化控制措施来缓解风险。

 

控制设计与实施阶段：

 

- 根据需要选择合适的控制目标和控制措施。

 

- 实施所选控制措施并对效果进行验证。

 

文件化支持阶段：

 

- 编辑制定必要的文件记录和手册等资料。

 

- 确保所有程序符合ISO 27001标准要求。

 

内审和管理评审阶段：

 

- 开展内部审核活动检查有效性和一致性。

 

- 上层管理者根据内审结果进行管理评审。

 

认证审计和授予证书阶段：

 

- 向认可机构申请正式的外部审核。

 

- 如审核合格，则被授予ISO 27001认证。

 

办理周期费用

 

通常情况下，完成ISO 27001认证的具体时间取决于多个因素，包括但不限于：企业规模、所属行业、当前的信息安全成熟度、员工参与程度以及对于所需控制措施的实施速度。一般而言，在企业积配合的情况下，简单的信息系统可能仅需几个月即可完成认证;而更为复杂或庞大的系统则可能要花费一年甚至更长时间。