在ISO27001标准中明确指出，企业需要建立和保持文件化的信息安全体系。体系文件中需要明确应当保护的资产、如何管理风险、怎么样控制目标及其控制方式，以及保护等级。

每个企业的特点和实际情况都不尽相同，在建立和完善ISO27000信息安全管理体系也应当根据企业自身的情况来调整方法和步骤。但总的来说，建立ISO27000信息安全管理体系的过程可以总结为4个重要步骤：

ISO27000体系策划和准备阶段，体系文件编制，体系运行，体系评审阶段。

ISO27000认证开展的流程

1 现场诊断

2 明确ISO27000的方针、目标 

3 根据企业的自身特性，明确ISO27000的范围 

4  ISO27000基本知识培训 

5 ISO27000体系内部审核员培训 

6 对企业信息资产进行风险评估和分类，确定风险程度 

7 实施风险管理，确定风险控制手段

8 制定信息安全管理手册和各类必要的控制程序； 

9 制定适用性声明 

10 制定商业可持续性发展计划 

11 审核文件、发布实施

12 体系运行，有效的实施选定的控制目标和控制方式

13 内部审核

14 外部第一阶段认证审核

15 外部第二阶段认证审核

16 颁发证书

17 体系持续运行/年度监督审核

18 复评审核（证书三年有效）

我们所处的是一个信息化时代，如何保证信息的安全，如何防止商业信息的泄露，已经成为企业急需解决的问题，而ISO27000信息安全管理体系给出了答案，开展ISO27000认证，需要全体人员的参与和配合。