ISO27001适用于所有类型的组织（例如，企业、政府机构、非赢利组织）。
　　 ISO27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织及其下属部门的需要而定制的安全控制措施的实施要求。

　　 当由于组织及其业务特性，标准中的任何要求不适用时，可以考虑进行删减。

　　 如果有删减，除非这些删减不影响组织提供信息安全满足风险评估和适用法规要求和责任的能力，否则不能声称符合ISO27001标准。