按照国家认证认可监督管理委员会发布的《认证咨询机构管理办法》，设立认证咨询机构，应当经国家认监委批准并依法取得工商登记后，方可从事批准范围内的认证咨询活动。也就是说，只有咨询机构的批准证书上的咨询范围包含“信息安全管理体系”时，咨询机构才能从事ISO27001咨询服务。如果认证咨询机构及其分支机构超越批准业务范围进行认证咨询活动或者分支机构未经备案的，责令改正，处1万元以上3万元以下罚款；情节严重的，国家认监委应当责令停业整顿，直至撤销批准文件，并予以公布。