多数组织的信息安全控制。如果没有[ISMS的]]然而，控制往往有些杂乱无章，相互脱节，已实施经常点解决方案的具体情况，或仅仅作为一种习惯问题。 [能力成熟度模型集成|成熟度模型]通常是指作为“专案”到了这个阶段。通常解决IT或数据安全的某些方面，特别是，让非IT信息资产(如文书和专有知识)较差的整个保护的安全控制操作。业务连续性计划和人身安全的例子，可能是相当独立的IT或信息安全管理，人力资源管理方法，而很少提到需要整个组织的信息安全角色和职责定义和分配。

　　ISO / IEC 27001的要求管理：

　　*系统地研究组织的信息安全风险，考虑到的威胁，脆弱性和影响;

　　*设计和实施的一套连贯和全面的信息安全控制和/或其他形式的风险处置(如避免风险或转移风险)，以解决那些被认为是不可接受的风险;

　　*采用一个总体的管理过程，以确保信息安全控制，继续一个持续的基础上，以满足该组织的信息安全需求。

　　虽然可能会被内使用的ISO / IEC 27001信息安全控制等成套[ISMS]以及，甚至代替，[ISO / IEC 27002]([信息安全管理工作守则])，这两个标准在实践中通常使用的。 ISO / IEC 27001附件一简明扼要地列出了从ISO / IEC 27002信息安全控制，而ISO / IEC 27002提供额外的信息和控制的实施意见。

　　同时按照ISO / IEC 27002实施了一套信息安全控制的组织ISO / IEC 27001的要求，以满足可能许多，但可能缺乏一些的总体管理体系要素。反过来也是如此，换句话说，一个ISO / IEC 27001合格证明书提供了保证信息安全管理体系到位，但是他说，有关信息安全的组织内的绝对状态小。技术安全控制，如防病毒软件和防火墙，一般都不会在ISO / IEC 27001认证审核审计：组织本质上是“推定”以来，已采取一切必要的信息安全控制的整体[ISMS]到位认为足够满足ISO / IEC 27001的要求。此外，管理决定的范围[信息安全管理体系认证的目的，并可能限制它，也就是说，一个单一的业务部门或位置。在ISO / IEC 27001证书并不一定意味着该组织的其余部分，范围区域外，有足够的信息安全管理方法。

　　在其他标准的ISO / IEC 27000系列| ISO / IEC 27000系列标准]]设计，实施和运行的某些方面提供更多的指导[ISMS的]，例如信息安全风险管理([ [ISO / IEC 27005])。