ISO27001明確指出，無論其類型、規(guī)模、業(yè)務(wù)性質(zhì)如何，標準中規(guī)定的要求都是通用的，適用于所有組織(商業(yè)企業(yè)、政府機構(gòu)、非營利組織)。

ISO27001從組織整體業(yè)務(wù)風(fēng)險的角度，規(guī)定了建立、實施、運行監(jiān)控、評估、保持和完善文件化信息安全管理體系的要求。ISO27001標準規(guī)定了為滿足不同組織或其部門的需要而制定的安全控制措施的實施要求。

ISO27001可以作為評估機構(gòu)滿足客戶、組織本身和法律法規(guī)確定的信息安全要求的能力的依據(jù)，無論是自我評估還是獨立的第三方認證。

就目前國內(nèi)發(fā)展而言，首先確定實施ISMS并考慮接受ISO27001認證的組織具有明顯的驅(qū)動力，可以是外部的，也可以是內(nèi)部的。這些組織主要集中在以下行業(yè)：
半導(dǎo)體行業(yè)：特別是主營業(yè)務(wù)是集成電路芯片制造的組織。由于近年來國內(nèi)IC行業(yè)的快速發(fā)展，大量國外設(shè)計企業(yè)的制造訂單飛往國內(nèi)一些大型芯片制造企業(yè)。鑒于IP(知識產(chǎn)權(quán))保護的重要性和國外客戶的明確要求，國內(nèi)芯片制造企業(yè)必須保證信息安全管理，ISO27001證書是最佳選擇。

軟件開發(fā)行業(yè)：情況類似于芯片制造企業(yè)。近年來，許多承擔(dān)軟件定制開發(fā)的企業(yè)也面臨著外部客戶明確提出的信息保護要求，尤其是承擔(dān)日本、歐美等國外軟件開發(fā)訂單業(yè)務(wù)的大型軟件企業(yè)。

金融保險業(yè):長期以來，金融保險業(yè)高度重視信息安全，保護客戶信息，保證業(yè)務(wù)運營的可靠性和可持續(xù)性，是行業(yè)組織實施ISMS、尋求認證的動力。此外，早年金融保險相繼完成信息基礎(chǔ)設(shè)施建設(shè)，未來工作重點將逐步向全面信息安全管理方向發(fā)展。

通信行業(yè)：特別是一些大型通信設(shè)備提供商，由于涉及到自身核心技術(shù)的保護，重視和全面實施信息安全管理體系已成為這些企業(yè)的必然選擇。

其他行業(yè):只要涉及IP保護，涉及行業(yè)規(guī)范和法律法規(guī)要求。如果涉及到自身的發(fā)展需求，組織會逐步加強信息安全建設(shè)。以美國Sarbanes-Oxley法案(薩班斯法案，簡稱SOX法案)為例，相關(guān)組織必然會關(guān)注信息安全，因為信息安全控制是企業(yè)內(nèi)部控制的重要組成部分。

ISO27001標準規(guī)定的要求是通用的，適用于各種類型、不同規(guī)模和業(yè)務(wù)性質(zhì)的組織。當組織聲明符合ISO27001標準時，第4條。信息安全管理系統(tǒng)。5.管理職責(zé)。6.ISMS內(nèi)部審計。7.ISMS管理評估和8。改進條款的內(nèi)容不能刪除。

組織刪除4.5.6.7.8條款的，不得聲稱符合ISO27001標準。

需要證明任何控制的刪除符合風(fēng)險接受的標準。應(yīng)提供證據(jù)證明相關(guān)風(fēng)險已被大多數(shù)人適當接受。除非刪除不影響組織滿足風(fēng)險評估和適用法律要求的信息安全能力和責(zé)任，否則不能聲稱符合ISO27001標準。