na ISO 27001 são encontradas recomendações das melhores práticas para apoiar os controles especificados por ela e um guia de implementação desses controles.

a norma NBR ISO/IEC 27001 foi elaborada para prover um modelo de sistema de gestão de segurança da informação (SGSI) e também para avaliar a conformidade deste pelas partes interessadas internas e externas.

a norma ISO 27002 sugere métricas e relatórios para um sistema de gestão de segurança da informação (SGSI).

as normas 27001 e 27002 são auditáveis, o que permite verificar a conformidade e os requisitos para um sistema de gestão de segurança da informação (SGSI).