Die Norm ISO/IEC 27001 beschreibt einen prozessorientierter Ansatz für die Einrichtung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines organisationseigenen ISMS (Informationssicherheits-Managementsystem). Selbst wenn sie die zu erreichenden Ziele definiert, präzisiert sie nicht, wie diese Ziele konkret umzusetzen sind. Die Norm ISO 27002 gibt eine Reihe von praktischen Empfehlungen, die sowohl technischer als auch organisatorischer Art sind.

Die Norm definiert ein "code of good practice" für die Einrichtung oder Aufrechterhaltung des Managementsystems für Informationssicherheit, das von den Verantwortlichen verwendet wird. Informationssicherheit wird definiert als Gewährleistung der Vertraulichkeit, der Integrität, und der Verfügbarkeit der Information.

Die Norm schlägt 11 Hauptbereiche der Sicherheit vor, mit insgesamt 133 Sicherheitszielen (die Kontrollen):

• Informationssicherheitsleitlinie

• Organisation der Informationssicherheit

• Management von organisationseigenen Werten

• personenenbezogene Sicherheit

• Physische und umgebungsbezogene Sicherheit

• Management der Telekommunikation

• Zugangskontrolle

• Beschaffung, Entwicklung und Wartung von Informationssystemen

• Management von Informationssicherheitsvorfällen

• Sicherstellung des Geschäftsbetriebs (Business Continuity Management)

• Einhaltung von Vorgaben