ISO27001明確指出，無論其類型、規模、業務性質如何，標準中規定的要求都是通用的，適用于所有組織(商業企業、政府機構、非營利組織)。

ISO27001從組織整體業務風險的角度，規定了建立、實施、運行監控、評估、保持和完善文件化信息安全管理體系的要求。ISO27001標準規定了為滿足不同組織或其部門的需要而制定的安全控制措施的實施要求。

ISO27001可以作為評估機構滿足客戶、組織本身和法律法規確定的信息安全要求的能力的依據，無論是自我評估還是獨立的第三方認證。

就目前國內發展而言，首先確定實施ISMS并考慮接受ISO27001認證的組織具有明顯的驅動力，可以是外部的，也可以是內部的。這些組織主要集中在以下行業：
半導體行業：特別是主營業務是集成電路芯片制造的組織。由于近年來國內IC行業的快速發展，大量國外設計企業的制造訂單飛往國內一些大型芯片制造企業。鑒于IP(知識產權)保護的重要性和國外客戶的明確要求，國內芯片制造企業必須保證信息安全管理，ISO27001證書是最佳選擇。

軟件開發行業：情況類似于芯片制造企業。近年來，許多承擔軟件定制開發的企業也面臨著外部客戶明確提出的信息保護要求，尤其是承擔日本、歐美等國外軟件開發訂單業務的大型軟件企業。

金融保險業:長期以來，金融保險業高度重視信息安全，保護客戶信息，保證業務運營的可靠性和可持續性，是行業組織實施ISMS、尋求認證的動力。此外，早年金融保險相繼完成信息基礎設施建設，未來工作重點將逐步向全面信息安全管理方向發展。

通信行業：特別是一些大型通信設備提供商，由于涉及到自身核心技術的保護，重視和全面實施信息安全管理體系已成為這些企業的必然選擇。

其他行業:只要涉及IP保護，涉及行業規范和法律法規要求。如果涉及到自身的發展需求，組織會逐步加強信息安全建設。以美國Sarbanes-Oxley法案(薩班斯法案，簡稱SOX法案)為例，相關組織必然會關注信息安全，因為信息安全控制是企業內部控制的重要組成部分。

ISO27001標準規定的要求是通用的，適用于各種類型、不同規模和業務性質的組織。當組織聲明符合ISO27001標準時，第4條。信息安全管理系統。5.管理職責。6.ISMS內部審計。7.ISMS管理評估和8。改進條款的內容不能刪除。

組織刪除4.5.6.7.8條款的，不得聲稱符合ISO27001標準。

需要證明任何控制的刪除符合風險接受的標準。應提供證據證明相關風險已被大多數人適當接受。除非刪除不影響組織滿足風險評估和適用法律要求的信息安全能力和責任，否則不能聲稱符合ISO27001標準。