文件的官方途径是通过 ISO:IEC - 每份文件的成本为 134 瑞士法郎。

各种机构都有指导文件，例如ISACA提供了一系列关于实施 ISMS、调整 Cobit、ITIL 和 ISO27001 等主题的 ISO27001 材料 - 但您必须是 ISACA 成员（如果需要，请询问我如何:-)

或者，您可以聘请顾问来了解您的需求并了解您可能需要做什么。例如，我已经帮助许多大型组织将其安全功能与 ISO27001:2005 保持一致——不是为了获得认证，因为这通常是代价高昂的矫枉过正，而是为了获得基于 ISO27001 的治理和安全框架为您提供的优势。

但是，您可以从一些免费资源中获得很多有用的信息：

• http://www.itgovernance.co.uk/iso27001.aspx有一个很好的 ISMS 指南，简报和 ISO27001 解释都值得一读。
• http://informationsecuritymanagement.co.uk/iso-27001-guide.php?gclid=COu59YiXgLECFZA24Qod4HK_6w还提供了获得认证的免费指南

27000本身是免费的，但是家里的其他标准恐怕要花钱。

它们可以作为印刷书籍或电子书直接从 ISO 和 IEC 购买，网址为http://www.iso.org/iso/home/store.htm或http://webstore.iec.ch/

它通常也可以从您当地的国家标准机构获得。对于挪威，即标准挪威，您可以在http://www.standard.no/找到谁

您可能想浏览以下内容：

• http://www.27000.org/iso-27001.htm
• http://en.wikipedia.org/wiki/ISO/IEC_27001

据我所知，大多数 ISO 标准文件都不能免费获得，必须从 ISO 商店 ( http://www.iso.org/iso/home/store.htm ) 或从本国的 ISO 成员处购买，例如德国的 DIN。（有关省钱的最终技巧，请参阅下面的评论。）

考虑到遵循 ISO27001 标准所涉及的大量资金，特别是如果您一路走来认证，我倾向于建议您进行某种形式的培训。

提供的一些培训（但不是全部）将向您提供您自己的标准副本，作为培训费用的一部分（也就是说，您也为此付费，但您不需要自己联系当地的标准机构）。

当然，这将比购买标准更昂贵，也许您更愿意至少自己阅读它，然后再决定是否真的要实施它，但我真的相信，如果您确实想实施它，你需要帮助才能做到这一点。

也就是说，这主要取决于您公司的目标 - 如果您要获得全面认证，请让公司立即将您送到 ISO27001 首席实施者培训（顺便说一下，您的管理层应该执行的标准授权条款之一）为 ISMS 的实施和维护投入资源——这意味着投资于你），这将是值得的。

如果您只是考虑将标准作为提高安全性的工具来实施，或者只是对它感到好奇，那么是的，也许只是阅读它就足够了。

当然，考虑到你问的时候，很可能你已经按照罗里的回答买了它——如果是这样，我很好奇你的下一步是什么。特别是，您自己从 ISO27001 开始的经验可能对其他在这个问题上绊倒的人来说是无价的；你做了什么开始，你会推荐什么，什么不是？请记住，可以回答您自己的问题。