ISO27001用于為建立、實(shí)施、運行、監視、評審、保持和改進(jìn)信息安全管理體系（Information Security Management System，簡(jiǎn)稱(chēng)ISMS）提供模型。
采用ISMS應當是一個(gè)組織的一項戰略性決策。
一個(gè)組織的ISMS的設計和實(shí)施受業(yè)務(wù)需求和目標、安全需求、所采用的過(guò)程以及組織的規模和結構的影響。
上述因素及其支持過(guò)程會(huì )不斷發(fā)生變化。
期望信息安全管理體系可以根據組織的需求而測量，例如簡(jiǎn)單的情形可采用簡(jiǎn)單的ISMS解決方案。

ISO27001標準可以作為評估組織滿(mǎn)足顧客、組織本身及法律法規的信息安全要求的能力的依據，無(wú)論是組織自我評估還是評估供方能力，都可以采用，也可以用作獨立第三方認證的依據。