Działa jako podstawa podczas oceny zgodności Systemu Zarządzania Bezpieczństwem Informacji (SZBI - ang. ISMS - Information Security Management System) w całej organizacji lub jej części. Normę można wykorzystać jako podstawę sformalizowanej procedury ceryfikacyjnej.

Istotnym elementem normy ISO 27001 jest opis służący do budowania i utrzymania SZBI:

Aby możliwe było określenie specyficznych i optymalnych celów i działań związanych z bezpieczeństwem, organizacja musi w pierwszej kolejności przeprowadzic analizę ryzyka, następnie wdrożenie i przystosowanie do własnych wymagań. Po ich identyfikacji konieczne jest ich zrozumiałe udokumentowanie i stosowanie w odniesieniu do wszystkich osób działających na rzecz organizacji. Dokumenty te muszą być do dyspozycji kierownictwa, pracowników i określonych niezależnych stron (np. audytorzy wewnętrzni, audytorzy certyfikujący itd.).

Udokumentowane cele i działania bezpieczeństwa, dokumentacji polityki bezpieczeństwa i procedur, tak samo jak wszystkie inne zapisy istotne dla bezpieczeństwa informacji (BI), są określane jako System Zarządzania Bezpieczeństwem Informacji w organizacji.