一般說來，證書是由認證機構頒發，認證機構要得到認可機構的授權，認可機構要得到認監委(CNCA)的授權。

在中國的認證最高管理單位是CNCA。

但是有些認證機構經CNCA備案授權，并沒有獲得CNAS的認可，這樣在國內開展被授權的審核業務也是可以的。

頒發ISO27001信息安全管理體系證書的認證機構必需是經過CNCA國家認證監督委員會(認監委)授權的認證機構方可在國內進行審核發證，所有通過認證且合法的證書均可在CNCA的網站上進行查詢.

國外的認證機構如果沒有在國內CNCA備案，即使認證機構得到了認可單位是UKAS或者ANAB等等的認可，也是不符合中國的法律法規的，視為違規操作，被發現將會被CNCA處罰并公示證書在國內無效。經CNCA授權的認證機構可以在CNCA網站上查詢。

關于認證機構與認可機構

認可，是正式表明合格評定機構具備實施特定合格評定工作能力的第三方證明。

通俗地講，認可是指認可機構按照相關國際標準或國家標準，對從事認證、檢測和檢查等活動的合格評定機構實施評審，證實其滿足相關標準要求，進一步證明其具有從事認證、檢測和檢查等活動的技術能力和管理能力，并頒發認可證書。

中國的認可機構是CNAS，英國的認可機構是UKAS，美國的認可機構是ANAB。