ISO27001明確指出，無(wú)論其類(lèi)型、規模、業(yè)務(wù)性質(zhì)如何，標準中規定的要求都是通用的，適用于所有組織(商業(yè)企業(yè)、政府機構、非營(yíng)利組織)。

ISO27001從組織整體業(yè)務(wù)風(fēng)險的角度，規定了建立、實(shí)施、運行監控、評估、保持和完善文件化信息安全管理體系的要求。ISO27001標準規定了為滿(mǎn)足不同組織或其部門(mén)的需要而制定的安全控制措施的實(shí)施要求。

ISO27001可以作為評估機構滿(mǎn)足客戶(hù)、組織本身和法律法規確定的信息安全要求的能力的依據，無(wú)論是自我評估還是獨立的第三方認證。

就目前國內發(fā)展而言，首先確定實(shí)施ISMS并考慮接受ISO27001認證的組織具有明顯的驅動(dòng)力，可以是外部的，也可以是內部的。這些組織主要集中在以下行業(yè)：
半導體行業(yè)：特別是主營(yíng)業(yè)務(wù)是集成電路芯片制造的組織。由于近年來(lái)國內IC行業(yè)的快速發(fā)展，大量國外設計企業(yè)的制造訂單飛往國內一些大型芯片制造企業(yè)。鑒于IP(知識產(chǎn)權)保護的重要性和國外客戶(hù)的明確要求，國內芯片制造企業(yè)必須保證信息安全管理，ISO27001證書(shū)是最佳選擇。

軟件開(kāi)發(fā)行業(yè)：情況類(lèi)似于芯片制造企業(yè)。近年來(lái)，許多承擔軟件定制開(kāi)發(fā)的企業(yè)也面臨著(zhù)外部客戶(hù)明確提出的信息保護要求，尤其是承擔日本、歐美等國外軟件開(kāi)發(fā)訂單業(yè)務(wù)的大型軟件企業(yè)。

金融保險業(yè):長(cháng)期以來(lái)，金融保險業(yè)高度重視信息安全，保護客戶(hù)信息，保證業(yè)務(wù)運營(yíng)的可靠性和可持續性，是行業(yè)組織實(shí)施ISMS、尋求認證的動(dòng)力。此外，早年金融保險相繼完成信息基礎設施建設，未來(lái)工作重點(diǎn)將逐步向全面信息安全管理方向發(fā)展。

通信行業(yè)：特別是一些大型通信設備提供商，由于涉及到自身核心技術(shù)的保護，重視和全面實(shí)施信息安全管理體系已成為這些企業(yè)的必然選擇。

其他行業(yè):只要涉及IP保護，涉及行業(yè)規范和法律法規要求。如果涉及到自身的發(fā)展需求，組織會(huì )逐步加強信息安全建設。以美國Sarbanes-Oxley法案(薩班斯法案，簡(jiǎn)稱(chēng)SOX法案)為例，相關(guān)組織必然會(huì )關(guān)注信息安全，因為信息安全控制是企業(yè)內部控制的重要組成部分。

ISO27001標準規定的要求是通用的，適用于各種類(lèi)型、不同規模和業(yè)務(wù)性質(zhì)的組織。當組織聲明符合ISO27001標準時(shí)，第4條。信息安全管理系統。5.管理職責。6.ISMS內部審計。7.ISMS管理評估和8。改進(jìn)條款的內容不能刪除。

組織刪除4.5.6.7.8條款的，不得聲稱(chēng)符合ISO27001標準。

需要證明任何控制的刪除符合風(fēng)險接受的標準。應提供證據證明相關(guān)風(fēng)險已被大多數人適當接受。除非刪除不影響組織滿(mǎn)足風(fēng)險評估和適用法律要求的信息安全能力和責任，否則不能聲稱(chēng)符合ISO27001標準。