ISO27001和ISO27002之間的工作關(guān)系需要理解的非常明確，因為ISO27001對ISO27002有相當(dāng)程度的依賴，實際上它必需要用到ISO27002。

開發(fā)信息安全管理的國際標(biāo)準ISO 27002的原因最初在BSI的網(wǎng)站上的描述如下：
許多組織都表示需要有一個共同的關(guān)于信息安全管理最佳實踐的標(biāo)準，他們希望能夠部署信息安全控制措施，以滿足他們自己的業(yè)務(wù)需求以及與他們有業(yè)務(wù)關(guān)系的其它機構(gòu)。這些組織認為有必要分享通用最佳實踐的好處，并以此作為一個真正的國際水平，以確保它們能夠保護他們的業(yè)務(wù)流程和活動，以滿足業(yè)務(wù)的需要。

它并沒有提供一個用于獲得國際認證的基本方案。認證方案只有BS7799的第二部分和現(xiàn)在的ISO 27001可以做到。

兩個標(biāo)準之間的對應(yīng)關(guān)系
ISO27001:2005的附件A中列出了ISO17799:2005也就是新編號ISO27002中的133個控件，并且遵循相同的編號系統(tǒng)，和使用同樣的關(guān)于控制措施的語言用詞。
ISO27001的前言中指出：控制目標(biāo)和控制措施直接來自ISO17799:2005，并且和它保持一致。
ISO27001規(guī)定：應(yīng)該從附件A中選擇控制目標(biāo)和控制措施，以滿足“風(fēng)險評估和風(fēng)險處理過程中確定的控管要求”。
ISO27002還提供了有關(guān)如何實現(xiàn)特定的控制措施的實質(zhì)性指導(dǎo)。任何一個ISO27001 ISMS的實施都將需要獲取和研究ISO27001和ISO27002兩份標(biāo)準。
盡管ISO27001強制指定ISO27002作為一個控制措施選擇和部署的指導(dǎo)來源，它并不限制該組織對控制措施的選擇。序言接著指出：“ISO標(biāo)準中的控制目標(biāo)和控制措施可能并不是很詳盡，組織可能需要考慮和采取更多的控制目標(biāo)和控制措施?！?/p>

相關(guān)文章：

ISO27001信息安全管理體系認證背景 ISO/IEC27001的起源與發(fā)展？ ISO/IEC27001知識體系 ISO27001信息安全管理體系對組織環(huán)境的要求