ISO 27001是一個信息安全管理體系規范。它使用的詞匯像“應該”和“必須”。它規定我們的需求。它是對其中第一、第二和第三方的審計進行規范的。

第一方的審計是一個組織對該組織自己的行為進行審核，即自審。第二方審計的工作由一個合作組織進行，這個合作組織通常是有一些商業關系的合作伙伴。第三方審計是由獨立的第三方進行，如認證機構或外部審計師。

實施細則或一套指引，使用的字眼例如“可以”和“建議”，它允許單個的組織機構選擇執行哪些標準元素，和不執行哪些。這種內在的元素可選擇性意味著ISO 27002并不適合為審計提供堅實的標準。而在這方面，ISO27001就不提供任何回旋余地。

任何實施ISMS的并且希望得到ISO 27001評審的組織，將必需遵守這個標準中的規格。

作為一個通用的規則，實施了以ISO 27001為基礎的ISMS的組織需要密切注意該標準本身的措辭，并要密切注意它的任何修改。與官方修改的任何不符，通常發生在3年和5年的認證周期內，將會影響到現有的認證。

恰當的第一步是獲取和閱讀ISO 27001的副本。副本可從ISO網站或國家標準機構購買。