诊断阶段-了解公司实际经营活动（以业务合同为准），公司IT设备，物理边界，是否有独立机房、使用哪些信息系统、公司内网和外网情况、是否使用有无线网、了解公司信息安全资产主要有哪些等。

体系框架建设-公司简介、公司组织架构及部门职责划分、纳入体系的物理边界和营业范围、确定公司的信息安全管理方针及目标、信息技术服务管理方针及目标、变更管理方针等。

体系文件编写-管理手册、程序文件、适用性申明、管理制度、记录表格。

风险评估-识别公司信息安全资产、确定重要资产、对重要资产进行风险评估、对中高风险资产进行风险处置、对参与风险进行风险处置。

体系运行阶段-管理手册、程序文件、适用性申明、管理制度、记录表格定稿，完成各项体系记录。

内审-内审员任命、内审方案、计划、记录、不合格及整改、内审报告。

管理评审-管理评审计划、报告、各部门管理评审输入。

第三方认证机构认证审核-企业建立体系后运行至少3个月以上，然后由公司内部审核员对公司各部门以及领导层进行体系运行符合性和有效性审核，确定公司体系运行符合ISO/IEC20000-1:2018《信息技术-服务管理体系 要求》、GB/T22080-2016/ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》2部标准要求后再向认证机构提出认证申请。认证申请需要提交的资料（公司资质；认证合同和认证申请书；管理手册和程序文件；内审、管理评审计划和报告；适用性申明、网络拓扑图、企业信息化建设情况说明、办公区平面图、临时固定多场所清单（需要时）。认证公司安排审核任务后由国家注册审核员对申请认证的公司进行现场审核，现场审核分为2个阶段进行，第一阶段为符合性审核，审查公司在建工程是否存在、体系建立、运行以及公司资质文件等是否满足要求。第二阶段为正式审核。