任何一個ISMS體系的建立和開發都應當滿足組織特的需求。每個組織不僅都有自己特的業務模式、運營目標、形象特點和內部文化，他們對待風險的態度傾向也大相徑庭。換句話說，同一個東西，一個機構組織認為是提防的威脅，在另一個組織看來可能是一個抓住的機遇。同樣地，各個機構組織對于既有風險防護的投入也參差不齊。基于以上或者其他原因，每個運行ISMS的組織，其內部成員對風險評估有一個共識，這個風險評估的方法論、結果發現和推薦解決方式都得到董事會的。

ISO27001認證審核費用及周期
除了組織自身投入之外，ISO27001 認證審核費用主要體現在聘請第三方認證機構及審核員方面了。在組織向認證機構提出申請之后，認證機構會初步了解組織現狀，確定審核范圍，提出審核報價。認證機構的報價通常是根據其投入的時間和人員來確定的，決定因素包括：
1、受審核組織的員工數量；
2、納入審核范圍的信息量；
3、場所數量；
4、組織與外界的關聯；
5、組織 IT 的復雜性；
6、組織類型和業務性質等。

更多參考：此次ISO也新增許多指引供企業參考，組織可以通過不同的面以及風險進行深度的強化，通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號（001-044），例如金融服務、數字鑒識、供應鏈管理（4本）、軟件開發測試等，主管機關可參考這些指引做升級的要求。

然而過去的幾年中，IT領域和通信行業發生了非常大的變革，出現了全面的業務和技術的融合。移動互聯網蓬勃興起、智能手機的廣泛采用、云計算技術的風起云涌，帶來了全新的網絡威脅、數據泄漏和欺詐的風險。面對這樣的變化和趨勢，使得信息安全管理體系標準的更新也變得日益重要。

頒發ISO27001信息安全管理體系證書的認證機構必需是經過CNCA國家認證監督（認監委）授權的認證機構方可在國內進行審核發證，所有通過認證且合法的證書均可在CNCA的網站上進行查詢。國外的認證機構如果沒有在國內CNCA備案，即使認證機構得到了認可單位是UKAS或者ANAB等等的認可，也是不符合中國的法律法規的，視為違規操作，被發現將會被CNCA處罰并公示證書在國內無效。經CNCA授權的認證機構可以在CNCA網站上查詢。

認證，認證是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。認證機構，是經國家認證認可監督管理(CNCA)批準可以在中國境內合法開展管理體系認證和產品認證的機構。就是說取得此項認證資質的企業或單位才可以進行審核活動。比如BSI，DNV，北京新世紀認證有限公司，華夏認證中心有限公司等等，他們屬于認證機構。認證機構是經CNCA授權的，認可機構管理認證機構。