Norma ISO 27001 zawiera wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji, które muszą zostać potwierdzone podczas audytu certyfikacyjnego, aby organizacji przyznano certyfikat zgodności. System ten obejmuje swoim zakresem szereg celów zabezpieczeń, w tym zagadnienia związane z zapewnieniem bezpieczeństwa systemów informatycznych.

Poza bezpieczeństwem systemów informatycznych poruszane są m.in. zagadnienia bezpieczeństwa fizycznego, środowiskowego, osobowego czy prawnego. Jednocześnie poza elektroniczną postacią informacji, w zakres ochrony wchodzą także inne "nośniki", czyli postać papierowa czy informacje przekazywane w sposób ustny. Mówimy tutaj o zarządzaniu systemowym, czyli kompleksowym i długofalowym zapewnieniu bezpieczeństwa.