ISO/IEC 27001标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。ISO/IEC 27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

ISO/IEC27001:2005 标准的架构

ISO27001共分成11个主题，39个控制目标，133个控制措施。

11 个主题包括：

一 Security Policy(安全政策)

二 Organization of information security(组织信息安全)

三 Asset management(资产管理)

四 Human resources security(人力资源安全)

五 Physical and environmental security(实体与环境安全)

六 Communications and operations management(通信和操作管理)

七 Access control(访问控制)

八 Information systems acquisition,development and maintenance(信息系统获取、开发与维护)

九 Information security incident management(信息安全事故管理)

十 Business continuity management(业务持续性管理)

十一 Compliance(符合性)

信息安全管理体系建置方案

ISO27001所规范的『计划-执行-检查-行动』(PDCA,Plan-Do-Check-Act)发展模式及流程来建置信息安全管理体系(ISMS)，