一般说来，证书是由认证机构颁发，认证机构要得到认可机构的授权，认可机构要得到认监委(CNCA)的授权。

　　在中国的认证最高管理单位是CNCA。

　　但是有些认证机构经CNCA备案授权，并没有获得CNAS的认可，这样在国内开展被授权的审核业务也是可以的。

　　颁发ISO27001信息安全管理体系证书的认证机构必需是经过CNCA国家认证监督委员会(认监委)授权的认证机构方可在国内进行审核发证，所有通过认证且合法的证书均可在CNCA的网站上进行查询。

　　国外的认证机构如果没有在国内CNCA备案，即使认证机构得到了认可单位是UKAS或者ANAB等等的认可，也是不符合中国的法律法规的，视为违规操作，被发现将会被CNCA处罚并公示证书在国内无效。经CNCA授权的认证机构可以在CNCA网站上查询。

　　关于认证机构与认可机构

　　认可，是正式表明合格评定机构具备实施特定合格评定工作能力的第三方证明。

　　通俗地讲，认可是指认可机构按照相关国际标 准或国家标准，对从事认证、检测和检查等活动的合格评定机构实施评审，证实其满足相关标准要求，进一步证明其具有从事认证、检测和检查等活动的技术能力和管理能力，并颁发认可证书。

　　中国的认可机构是CNAS，英国的认可机构是UKAS，美国的认可机构是ANAB。