第一部分,是信息安全管理实施细则(Code of Practice for Information Security Management),主要供负责信息安全系统开发的人员作为参考使用;第二部分,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估准则。
通过ISO9001,ISO14001或ISO18001质量管理体系审核的组织很容易导入ISO 27001信息安全系统,因为本标准被设计成易与其它国际管理标准相整合