當企業完成內部審核，并對發現的問題進行有效整改后，就可以聯系具有資質的第三方認證機構，正式提交 ISO27001 認證申請。

提交申請后，認證機構會根據 ISO27001 標準，對企業的信息安全管理體系進行獨立的外部審核。這是對企業信息安全管理水平的一次全面檢驗，審核過程嚴謹且細致，企業需要積極配合認證機構的工作，提供準確、完整的文件資料和相關證據，展示企業在信息安全管理方面的真實情況和努力成果。

接受外部審核：應對嚴苛考驗

認證機構的外部審核通常分為兩個階段，每個階段都有其特定的審核重點和目標。

第一階段審核主要聚焦于企業的文件和體系架構。審核員會仔細審查企業提交的信息安全管理體系文件，包括信息安全政策、程序文件、風險評估報告、風險處理計劃等，評估其完整性和符合性，確保文件內容符合 ISO27001 標準的基本要求，體系架構合理、邏輯清晰。例如，檢查信息安全政策是否涵蓋了保密性、完整性和可用性等核心目標，風險評估報告中的風險識別是否全面、風險分析方法是否科學等。這一階段就像是對建筑藍圖的審核，確保設計方案符合規范要求。

第二階段審核則是對體系實際運行情況的深入檢查，通過現場觀察、員工訪談、記錄審查等方式，全面評估企業的信息安全管理體系在日常運營中的有效性。審核員會實地查看企業的辦公場所、機房等物理環境的安全措施是否到位，如門禁系統是否正常運行、消防設備是否配備齊全；與不同部門的員工進行訪談，了解他們對信息安全政策和程序的知曉度和執行情況，是否能夠正確應對常見的信息安全風險；審查各類操作記錄，如用戶權限審批記錄、安全事件處理記錄等，驗證控制措施是否得到有效執行。這一階段如同對建筑物實際施工質量的檢驗，確保每一個細節都符合設計要求和安全標準。