Bei dem Verfahren zur Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz — so der vollständige Name — handelt es sich um ein formelles Zertifizierungsverfahren, das weitestgehend dem Verfahren nach ISO/IEC 27006 entspricht. Die Zertifizierungsstelle ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Gegensatz zu ISO/IEC 27001 werden die Auditoren nicht direkt von der Zertifizierungsstelle entsandt, vielmehr beauftragt das Unternehmen oder die Behörde, die das Zertifikat anstrebt, den Auditor direkt. Dieser muss dann gegenüber dem BSI seine Unabhängigkeit belegen, das heißt, er muss deutlich machen, dass er im Vorfeld nicht beratend tätig war. Somit ist sichergestellt, dass ein Auditor nicht die Ergebnisse seiner eigenen Beratungstätigkeit überprüft.