ISO27001是国际标准,全名是IEC/ISO27001信息安全管理体系规范,他是整个ISO27000标准系列当中的一个标准,该系列标准中包含很多其他标准;另外一个大家常说的标准ISO1779:2005-信息安全实施细则也是与信息安全管理相关的,这个标准当前已经改名为ISO27002:2008了。无论是ISO27001还是ISO27002,都是ISMS标准系列(ISMS Family of Standards)之一,ISMS标准系列如下图所示:
大家常说的ISO27001认证,就是企业宣称的认证范围内符合ISO27001标准正文里的所有要求,并且有选择的满足ISO27001标准附录A中的内容。附录A中的内容对应标准ISO27002:2008第5章到第15章,企业是可以根据自身的实际情况来选择适用的控制措施,也就是说该标准里的133个控制项不是强制要求通过认证的用户都必须满足的,通常是通过《适用性声明SOA》文件来表达这种适用,因此,通常在通过ISO27001证书里会包含所选《适用性声明SOA》文件的。