信息安全管理体系要求，是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动，利用风险分析管理工具，結合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果，来制定适当的信息安全政策与信息安全作业准则，从而降低潜在的信息安全风险危机。

ISO27001信息安全管理体系适用手所有类型的组织(例如：商业企业，政府机构、非盈利组织），包括但不限于，银行、证券、保险等金融机构；交通，能源等大型国有企业，互联网数据中心(IDC服务提供商；软件和信息技术服务企业；公共管理、社会保障和社会组织等等。