但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應當從經濟利益考慮，選擇一個合適的管理體系的認證機構來提供認證服務。認證機構得到一個國家鑒定機構的委托授權，才能為認證組織提供認證服務，并發放認證證書。大多數國家都有自己的國家鑒定機構（比如：英國UKAS），任何獲得該機構授權進行ISMS認證的機構均記錄在案。

ISMS項目很復雜，可能持續若干個月甚至若干年，涉及整個機構組織以及從管理層到收發部門的每個成員。ISO27001認證誕生時間短，成功的案例比較少。從務實的角度考慮，這表明在項目計劃過程中，盡早對這些僅有的指導性的書籍和案例進行分析和研究。

現版的信息安全管理系統ISO 27001:2005標準已經使用了8年，日前ISO組織（國際標準化組織）終于將新版ISO 27001:2013 DIS版（國際標準草案Draft International Standard）草稿向公眾開放并征求意見，預計在今年6-7月會發布DIS終版。目前ISO組織公布的正式版本的頒布時間為2013年10月19日，在新版公布后的18至24個月內是轉換緩沖期，即原有已取得證書的企業遲需要在2015年10月19日前轉換到新版標準。

新要求：ISO 27001:2005原本有11個領域（domain）、133項控制措施，新版DIS目前調整為14個領域（A.5-A.18）、113個控制措施（未來仍可能有改動）。新增的領域是將原分散在各領域中的部分控制目標級別提升，組成新領域，如加密與供應鏈管理因其重要性而被立出來成為新領域；或是將原有領域分拆，如將通訊與作業管理分開成兩個立的領域，以反映目前信息安全的發展趨勢。而控制措施的減少則是通過合并重復的項目來進行，像變更管理在不同的領域中有重復就予以合并。也有新增的控制項目比如對智能型裝置的管理、強化ICT供應鏈的委外管理、以及系統開發項目管理的信息安全要求等。

信息安全風險評估：組織應確定如何確定其信息安全風險評估和處置過程的可靠性。信息安全風險處理：適用時，組織應調整信息安全風險評估和處置過程，以及采用的方法，以改善過程的可靠性。保留附錄A控制措施與控制目標新版ISO27001依然會保留SOA和附錄A控制目標、控制措施的架構；因此，毫無疑問，ISO27001的新版修訂一定會與ISO27002的修訂同步進行。

獲得CNAS認可的認證機構名錄如下：中國質量認證中心，上海質量體系審核中心，北京賽西認證有限責任公司，廣州賽寶認證中心服務有限公司，北京新世紀認證有限公司，華夏認證中心有限公司，中國信息安全認證中心，上海挪華威認證有限公司