ISO 27000 系列标准是所有与信息安全相关的国际标准的汇编。不同之处在于 ISO 27001 标准具有组织重点和详细要求，可以根据这些要求审核组织的信息安全管理系统 (ISMS)。另一方面，ISO 27002 更侧重于个人，并提供了供组织内个人使用的行为准则。如果你比较它们，你会发现它们的结构相似并且它们相互映射。

不同之处在于详细程度，ISO 27002 在一整页上解释了一个控制，而 ISO 27001 只为每个控制用了一句话。ISO 27002 提供了有关信息安全管理的最佳实践建议，供负责实施的人员使用或维护信息安全管理系统 (ISMS)。而 ISO 27001 定义了审核要求。

ISO 27001 规定了要求。如果组织想要认证其信息安全管理系统 (ISMS)，则需要遵守 ISO 27001 中的所有要求。

另一方面，ISO 27002 是非强制性的最佳实践。这意味着组织不需要遵守 ISO 27002，但可以将其作为实施 ISO 27001 要求的灵感。

例如，在 ISO 27001 中，您有一个要求组织进行备份的控制，而在 ISO 27002 中，您有相同的控制但更完善，说备份应该按计划的时间间隔进行，应该测试，你应该备份数据和软件等

ISO 27002 更加复杂且难以遵守，但它不是强制性的，因为根据组织的环境和业务，它可以以另一种方式实施控制。ISO 27001 确定了您必须做什么，但没有确定如何做。ISO 27002 描述了如何。

关于 27002，请注意 27001 声明：

应从这些表中选择控制目标和控制，作为 4.2.1 中规定的 ISMS 过程的一部分，

其中“这些表格”是指附录 A（尤其是 27002）。

因此，您必须在范围内采取附件 A 控制措施，如果您可以论证原因（例如，没有进行软件开发，或者风险太低），您可以将它们置于范围之外。