ISMS項目很復雜，可能持續若干個月甚至若干年，涉及整個機構組織以及從管理層到收發部門的每個成員。ISO27001認證誕生時間短，成功的案例比較少。從務實的角度考慮，這表明在項目計劃過程中，盡早對這些僅有的指導性的書籍和案例進行分析和研究。

ISO27001標準指導一個企業如何著手開展ISMS項目，并且關注整個項目進程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程，即計劃（Plan）－執行（Do）－檢查（Check）－提升（Act）過程，意在說明業務流程應當是不斷改進的，該方法使得職能部門經理可以識別出那些需要修正的環節并進行修正。這個流程以及流程的改進，都遵循這樣一個過程：先計劃，再執行，而后對其運行結果進行評估，緊接著按照計劃的具體要求對該評估進行復查，而后尋找到任何與計劃不符的結果偏差（即潛在改進的可能性），后向管理層提出如何運行的終報告。

易整合：以前各管理系統對管理制度面的要求有不太一致的描述方式，且章節不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策與支持等管理制度面要求不同。在新版當中采取Annex SL做結構性要求，讓不同管理系統易于接軌、整合。Annex SL的結構是ISO組織未來所有管理制度制定時的重要依據，目前已經有ISO 22301（前BS 25999營運持續管理系統）和這次的ISO 27001新版都已采此結構進行調整。預計已頒布的標準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調整。

信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：BS7799-1，信息安全管理實施規則；BS7799-2，信息安全管理體系規范。部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規定了根據立組織的需要應實施安全控制的要求。

ISO對標準的更新，一般是以三年為一個周期,但因為ISO27001：:2005標準發布后的成功，以及ICT行業的飛躍發展，使得這個標準的更新變得非常謹慎，至今已有7年。從ISO組織發布的新信息可以看到，ISO27001標準的更新籌備實際上已經在2008年開始，任命了工作組（JTC1/SC27WG1）；2009年正式啟動更新。目前，處于該標準草案（CommitteeDraft）正在編寫討論層面（30.20：2012-06-20），預計新版發布時間會在2013-10-19，那時我們就可以一睹它的全新面貌了。

獲得CNAS認可的認證機構名錄如下：中國質量認證中心，上海質量體系審核中心，北京賽西認證有限責任公司，廣州賽寶認證中心服務有限公司，北京新世紀認證有限公司，華夏認證中心有限公司，中國信息安全認證中心，上海挪華威認證有限公司