ISO27001明確指出，無論其類型、規(guī)模、業(yè)務(wù)性質(zhì)如何，標(biāo)準(zhǔn)中規(guī)定的要求都是通用的，適用于所有組織(商業(yè)企業(yè)、政府機(jī)構(gòu)、非營利組織)。

ISO27001從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，規(guī)定了建立、實(shí)施、運(yùn)行監(jiān)控、評估、保持和完善文件化信息安全管理體系的要求。ISO27001標(biāo)準(zhǔn)規(guī)定了為滿足不同組織或其部門的需要而制定的安全控制措施的實(shí)施要求。

ISO27001可以作為評估機(jī)構(gòu)滿足客戶、組織本身和法律法規(guī)確定的信息安全要求的能力的依據(jù)，無論是自我評估還是獨(dú)立的第三方認(rèn)證。

就目前國內(nèi)發(fā)展而言，首先確定實(shí)施ISMS并考慮接受ISO27001認(rèn)證的組織具有明顯的驅(qū)動力，可以是外部的，也可以是內(nèi)部的。這些組織主要集中在以下行業(yè)：
半導(dǎo)體行業(yè)：特別是主營業(yè)務(wù)是集成電路芯片制造的組織。由于近年來國內(nèi)IC行業(yè)的快速發(fā)展，大量國外設(shè)計(jì)企業(yè)的制造訂單飛往國內(nèi)一些大型芯片制造企業(yè)。鑒于IP(知識產(chǎn)權(quán))保護(hù)的重要性和國外客戶的明確要求，國內(nèi)芯片制造企業(yè)必須保證信息安全管理，ISO27001證書是最佳選擇。

軟件開發(fā)行業(yè)：情況類似于芯片制造企業(yè)。近年來，許多承擔(dān)軟件定制開發(fā)的企業(yè)也面臨著外部客戶明確提出的信息保護(hù)要求，尤其是承擔(dān)日本、歐美等國外軟件開發(fā)訂單業(yè)務(wù)的大型軟件企業(yè)。

金融保險(xiǎn)業(yè):長期以來，金融保險(xiǎn)業(yè)高度重視信息安全，保護(hù)客戶信息，保證業(yè)務(wù)運(yùn)營的可靠性和可持續(xù)性，是行業(yè)組織實(shí)施ISMS、尋求認(rèn)證的動力。此外，早年金融保險(xiǎn)相繼完成信息基礎(chǔ)設(shè)施建設(shè)，未來工作重點(diǎn)將逐步向全面信息安全管理方向發(fā)展。

通信行業(yè)：特別是一些大型通信設(shè)備提供商，由于涉及到自身核心技術(shù)的保護(hù)，重視和全面實(shí)施信息安全管理體系已成為這些企業(yè)的必然選擇。

其他行業(yè):只要涉及IP保護(hù)，涉及行業(yè)規(guī)范和法律法規(guī)要求。如果涉及到自身的發(fā)展需求，組織會逐步加強(qiáng)信息安全建設(shè)。以美國Sarbanes-Oxley法案(薩班斯法案，簡稱SOX法案)為例，相關(guān)組織必然會關(guān)注信息安全，因?yàn)樾畔踩刂剖瞧髽I(yè)內(nèi)部控制的重要組成部分。

ISO27001標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類型、不同規(guī)模和業(yè)務(wù)性質(zhì)的組織。當(dāng)組織聲明符合ISO27001標(biāo)準(zhǔn)時(shí)，第4條。信息安全管理系統(tǒng)。5.管理職責(zé)。6.ISMS內(nèi)部審計(jì)。7.ISMS管理評估和8。改進(jìn)條款的內(nèi)容不能刪除。

組織刪除4.5.6.7.8條款的，不得聲稱符合ISO27001標(biāo)準(zhǔn)。

需要證明任何控制的刪除符合風(fēng)險(xiǎn)接受的標(biāo)準(zhǔn)。應(yīng)提供證據(jù)證明相關(guān)風(fēng)險(xiǎn)已被大多數(shù)人適當(dāng)接受。除非刪除不影響組織滿足風(fēng)險(xiǎn)評估和適用法律要求的信息安全能力和責(zé)任，否則不能聲稱符合ISO27001標(biāo)準(zhǔn)。