ISO 27001:2005是建立信息安全管理体系(ISMS)的一套需求规范(Information Security. Security techniques. Information security management systems. Requirements),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到最终的认证(对依据ISO 27001:2005建立的ISMS进行认证),还有一系列相应的注册认证过程。作为一套管理标准,ISO 27001:2005指导相关人员怎样去应用ISO27002:2005,其最终目的,还在于建立适合组织需要的信息安全管理体系(ISMS)。