组织通过 ISO27001 认证后，需要定期审核。ISO27001 认证证书的有效期为三年，在这期间组织需每年接受一次监督审核，第三年还需进行再认证审核。具体如下：

• 年度监督审核：在认证证书的有效期内，每年必须进行一次监督审核，通常在每个年度的前后 12 个月内进行。监督审核的目的是确保组织的信息安全管理体系持续符合 ISO27001 标准要求，并有效运行。审核重点检查前一次审核中发现的不符合项的整改情况、新的信息安全风险的管理、信息安全政策和程序的执行情况等。每次监督审核后，审核机构将提供审核报告，列出发现的任何问题或改进建议，组织需要针对审核报告中的问题进行整改。

• 再认证审核：认证证书有效期的第三年，需要进行再认证审核。再认证审核是一次全面的审核，类似于初次认证审核，旨在评估组织信息安全管理体系的整体符合性和有效性。再认证审核包括文件审核和现场审核，确保体系的持续适宜性、充分性和有效性。通过再认证审核后，认证机构将续发 ISO27001 认证证书，新的证书有效期为三年。如果再认证审核中发现重大不符合项，组织必须进行整改并接受复审，复审合格后才能续发认证证书。