ISO27001中明確指出，標準中規定的要求是通用的，適用于所有的組織，無論其類型、規模和業務性質怎樣。

如果由于組織及其業務性質而導致標準中有不適用之處，可以考慮對要求進行刪減，但是務必要保證，這種刪減不影響組織為滿足由風險評估和適用的法律所確定的安全需求而提供信息安全的能力和責任，否則就不能聲稱是符合ISO27001標準的。

ISO27001可以作為評估組織滿足客戶、組織本身以及法律法規所確定的信息安全要求的能力的依據，無論是自我評估還是獨立第三方認證。

截止到2019年12月31日，我國已頒發8,185張經CNAS認可認證機構頒發的ISO27001信息安全管理體系認證證書。

信息安全管理體系認證證書地域分布圖（CNAS統計）

ISO27001標準中規定的要求是通用的，適用于各種類型、規模和業務特性的組織。當本標準的任何要求因組織及其業務特性而不適用時，可以考慮進行刪減。組織聲稱符合本標準時，對于4、5、6、7、8章要求的刪減不能接受。

如果有刪減，除非這些刪減不影響組織提供信息安全滿足風險評估和適用法規的要求和責任的能力，否則不能聲稱符合標準。刪減的范圍僅限于標準附錄A中列舉的控制，任何刪減必須根據風險評估結果判斷，證明刪減的控制不是達到和保持信息安全要求所必需的。