ISO27001是ISO27000系列的主標準，類似于ISO9000系列中的ISO9001，各類組織可以按照ISO27001的要求建立自己的信息安全管理體系（ISMS），并通過認證。

規劃的ISO27000系列包含下列標準

ISO 27000 原理與術語Principles and vocabulary

ISO 27001 信息安全管理體系—要求 ISMS Requirements (以BS 7799-2為基礎)

ISO 27002 信息技術—安全技術—信息安全管理實踐規范 (ISO/IEC 17799:2005)

ISO 27003 信息安全管理體系—實施指南ISMS Implementation guidelines

ISO 27004 信息安全管理體系—指標與測量ISMS Metrics and measurement

ISO 27005 信息安全管理體系—風險管理ISMS Risk management

ISO 27006 信息安全管理體系—認證機構的認可要求ISMS Requirements for the accreditation of bodies providing certification

ISO 27007 信息技術-安全技術-信息安全管理體系審核員指南

Information technology_Security techniques_ISMS auditor guidelines

其中ISO27001：2005 的最終標準草案（FDIS）已經在2005年7月發布，預計在2005年底或2006年初作為正式國際標準發布。

引言 -該標準描述了系統管理信息風險的過程。

1、范圍 -它指定適用于任何類型，規模或性質的組織的通用ISMS要求。

2、規范性引用文件 -僅 ISO / IEC 27000被視為對'27001'的用戶絕對必要：其余的ISO27k標準是可選的。

3、術語和定義 -參見 ISO / IEC 27000。

4、組織的上下文-了解組織的上下文，“利益相關方”的需求和期望并定義ISMS的范圍。第4.4節非常明確地指出“組織應建立，實施，維護和持續改進” ISMS。

5、領導力 -最高管理者必須表現出對ISMS，授權政策的領導力和承諾，并分配信息安全角色，職責和權限。

6、計劃 -概述識別，分析和計劃處理信息風險的過程，并闡明信息安全的目標。

7、支持 -必須分配足夠的主管資源，提高意識，準備并控制文檔。

8、操作 -有關評估和處理信息風險，管理變更以及記錄事物的更多詳細信息（部分以便可以由認證審核員進行審核）。

9、績效評估 -監視，衡量，分析和評估/審核/審查信息安全控制，流程和管理系統，并在必要時進行系統改進。

10、改進 -解決審核和評審的結果（例如，不合格和糾正措施），對ISMS進行持續改進。

附件A參考控制目標和控件 -實際上只不過是 ISO / IEC 27002中控制部分標題的列表而已。該附件是“規范性的”，這意味著希望認證的組織使用該附件，但主體表示，它們可以偏離或補充該附件，以解決其特定的信息風險。僅附件A很難解釋。請參閱ISO / IEC 27002，以獲得有關控件的更有用的詳細信息，包括實施指南。

介紹五個相關標準，以及ISO / IEC指令的第1部分，以獲取更多信息。此外，在標準主體中將 ISO 27000標識為規范性（即必不可少的）標準，并且在風險管理方面有多個對ISO 31000的引用。

認證的強制性要求
ISO27001是ISMS的正式規范，具有兩個不同的目的：

它列出了ISMS的設計，在相當高的層次上描述了重要部分。
可以（可選）將其用作經認證的審核員進行正式合規性評估的基礎，以認證組織合規性。

認證明確需要以下強制性文件：

ISMS范圍

信息安全政策

信息風險評估程序

信息風險處理流程

信息安全目標

從事信息安全工作的人員的能力證明

組織認為必要的其他與ISMS相關的文件

運作計劃和控制文件

的結果的[信息]風險評估

關于[信息]風險處理的決定

監視和衡量信息安全的證據

ISMS內部審核計劃和審核結果

ISMS最高管理層審查的證據

識別出不合格的證據，并采取糾正措施

其他各種： 附件A提及但未充分說明進一步的文檔，包括可接受的資產使用規則，訪問控制策略，操作程序，機密性或保密協議，安全系統工程原理，供應商關系的信息安全策略，信息安全事件響應程序，相關法律，法規和合同義務以及相關的合規性程序和信息安全連續性程序。但是，盡管附件A是規范性的，但組織并沒有正式要求采用和遵守附件A：它們可以使用其他結構和方法來處理其信息風險。

認證審核員幾乎可以肯定會檢查以下十五種文件是否存在：（a）是否存在，以及（b）是否適合目的。