Standard ISO / IEC 27001 określa wymogi w zakresie przygotowania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia udokumentowanego systemu zarządzania bezpieczeństwem informacji, biorąc pod uwagę ryzyka w przedsiębiorstwie. Tutaj, wszystkich rodzajów firm (np. przedsiębiorstwa handlowe, organizacje rządowe, organizacje non-profit) są uwzględniane. Standard został opublikowany jako norma DIN.

Szkolenia bezpieczeństwo informacji aranżowane są w celu usystematyzowania wiadomości dotyczących ochrony informacji. Ofertę szkoleń ISO 27001 przedstawić może wiele firmkonsultingowych, które szkolą z zakresu standardów ISO.

Norma określa wymogi dla odpowiednich mechanizmów ochrony, dostosowanych do sytuacji poszczególnych organizacji. Udział w międzynarodowym projekcie standaryzacji jest nadzorowany poprzez narodowe organizacje normalizacji.

ISO / IEC 27001:2005 ma na celu zmiany wyboru odpowiednich mechanizmów bezpieczeństwa w celu ochrony wszystkich wartości (aktywa) w łańcuchu wartości (patrz rozmiar ISO / IEC 27001, ogólne ryzyko … firm działalności gospodarczej ), aby zapewnić.

W momencie gdy inne zestawy z zakresu ochrony informacji mogą być potencjalnie wykorzystywane w ISO / IEC 27001 zamiast ISO / IEC 27002 (kodeks postępowania dla zarządzania bezpieczeństwem informacji), te dwa standardy są zwykle używane razem. Załącznik A do normy ISO / IEC 27001 -  krótka lista kontroli bezpieczeństwa informacji ISO / IEC 27002 oraz dodatkowo ISO / IEC 27002 dostarcza dodatkowych informacji i porad z realizacji kontroli.

Przedsiębiorstwa, które wprowadzają pakiet nadzorowania bezpieczeństwa informacji zgodnie z standardem ISO / IEC 27002 zarazem powinny spełniać wiele wymagań ISO / IEC 27001, ale może zabraknąć niektórych nadrzędnych elementów systemu zarządzania. Innymi słowy, ISO / IEC 27001 certyfikat zgodności udziela pewność, że system zarządzania bezpieczeństwem informacji jest na miejscu, ale niewiele mówi o stanie bezpieczeństwa informacji w firmie. Bezpieczeństwo techniczne kontroli, takie jak oprogramowanie antywirusowe i firewalle zazwyczaj nie są sprawdzane podczas audytu certyfikacyjnego ISO / IEC 27001. Zasadniczo domniemywa się, że organizacja przyjęła wszystkie niezbędne dla bezpieczeństwa informacji założenia od ogólnej ISMS jest na miejscu i jest za odpowiedni poprzez spełnienie wymogów normy ISO / IEC 27001. Ponadto, zarządzanie określa rozmiar ISMS do celów certyfikacji i może ograniczyć je do, powiedzmy, jedną jednostkę działalności albo lokalizacji. Certyfikat ISO / IEC 27001 nie musi oznaczać, pozostałą część organizacji, poza zakrojony obszarze, to ma odpowiednie podejście do zarządzania bezpieczeństwem informacji.