ISO/IEC27001标准是替代BS7799的新的信息安全管理体系国际标准，ISO/IEC27001以BS7799为基础与其他国际标准并列。ISO/IEC27001适用于任何类型的组织。本标准为建立、实施、运行、监视、评审、保持和改进信息安全管理体系规定了要求。标准为第三方审核提供了依据，它可以与其他标准兼容，比如ISO 9001 质量管理体系标准和 ISO 14001环境管理体系标准。它的最根本的目标是通过持续改进的方法，帮助组织建立和保持一个有效信息安全管理体系。

ISO/IEC 27001:2005标准以BS7799为基础，经过修订后于2005年10月15日作为国际标准发布。ISO/IEC27001替代了 BS 7799，是信息安全管理体系的审核标准。

ISO13335提供了管理IT安全和选择保护措施的指南。

ISO/IEC 27001:2005标准是提出了信息安全管理体系的要求，它帮助企业识别、处理信息使信息受到的威胁减少到最小的范围。标准的设计提供了充分的、适当的安全控制，充分保护信息资产，使相关方充满信心。

标准适合于不同类型组织的不同方面，包括：

        明确表达安全要求和宗旨

        保证安全风险所带来的成本被有效控制

        保证遵守法律法规。

        作为控制的实施和管理流程性框架，与组织的具体安全宗旨和要求相符。

        现有信息安全管理过程的阐明和澄清。

        在管理中应用以确定信息安全管理活动的状况。

        用于组织外部和内部的审核，确定组织遵照政策、方针和标准的程度。

        向贸易伙伴提供关于信息安全政策、方针、标准和规程的相关的信息

        向顾客提供信息安全的相关信息。

目前ISO27001作为信息安全管理领域的一个权威标准，是全球业界一致公认的辅助信

息安全治理的手段，该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言，以及保护信息资产的制度框架，这正是管理层能够接受并理解的，而此前与之对应的情形是：一旦出现信息安全事件，IT部门负责人就想到要采用最先进的信息安全技术，如购买先进的防火墙等等，客观上让人感觉到IT部门总是在花钱，对此管理层通常难以理解和接受。

    目前，已有二十多个国家引用ISO27001作为国标，也是卖出拷贝最多的管理标准，其在欧洲的证书发放量已经超过ISO9001，越来越多的信息安全公司都以ISO27001指导为客户提供信息安全咨询服务。