ISO27001中明確指出，標(biāo)準(zhǔn)中規(guī)定的要求是通用的，適用于所有的組織，無論其類型、規(guī)模和業(yè)務(wù)性質(zhì)怎樣。

如果由于組織及其業(yè)務(wù)性質(zhì)而導(dǎo)致標(biāo)準(zhǔn)中有不適用之處，可以考慮對(duì)要求進(jìn)行刪減，但是務(wù)必要保證，這種刪減不影響組織為滿足由風(fēng)險(xiǎn)評(píng)估和適用的法律所確定的安全需求而提供信息安全的能力和責(zé)任，否則就不能聲稱是符合ISO27001標(biāo)準(zhǔn)的。

ISO27001可以作為評(píng)估組織滿足客戶、組織本身以及法律法規(guī)所確定的信息安全要求的能力的依據(jù)，無論是自我評(píng)估還是獨(dú)立第三方認(rèn)證。

截止到2019年12月31日，我國(guó)已頒發(fā)8,185張經(jīng)CNAS認(rèn)可認(rèn)證機(jī)構(gòu)頒發(fā)的ISO27001信息安全管理體系認(rèn)證證書。

信息安全管理體系認(rèn)證證書地域分布圖（CNAS統(tǒng)計(jì)）

ISO27001標(biāo)準(zhǔn)中規(guī)定的要求是通用的，適用于各種類型、規(guī)模和業(yè)務(wù)特性的組織。當(dāng)本標(biāo)準(zhǔn)的任何要求因組織及其業(yè)務(wù)特性而不適用時(shí)，可以考慮進(jìn)行刪減。組織聲稱符合本標(biāo)準(zhǔn)時(shí)，對(duì)于4、5、6、7、8章要求的刪減不能接受。

如果有刪減，除非這些刪減不影響組織提供信息安全滿足風(fēng)險(xiǎn)評(píng)估和適用法規(guī)的要求和責(zé)任的能力，否則不能聲稱符合標(biāo)準(zhǔn)。刪減的范圍僅限于標(biāo)準(zhǔn)附錄A中列舉的控制，任何刪減必須根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果判斷，證明刪減的控制不是達(dá)到和保持信息安全要求所必需的。