ISO27001和ISO27002之間的工作關(guān)系需要理解的非常明確，因?yàn)镮SO27001對ISO27002有相當(dāng)程度的依賴，實(shí)際上它必需要用到ISO27002。

開發(fā)信息安全管理的國際標(biāo)準(zhǔn)ISO 27002的原因最初在BSI的網(wǎng)站上的描述如下：
許多組織都表示需要有一個(gè)共同的關(guān)于信息安全管理最佳實(shí)踐的標(biāo)準(zhǔn)，他們希望能夠部署信息安全控制措施，以滿足他們自己的業(yè)務(wù)需求以及與他們有業(yè)務(wù)關(guān)系的其它機(jī)構(gòu)。這些組織認(rèn)為有必要分享通用最佳實(shí)踐的好處，并以此作為一個(gè)真正的國際水平，以確保它們能夠保護(hù)他們的業(yè)務(wù)流程和活動，以滿足業(yè)務(wù)的需要。

它并沒有提供一個(gè)用于獲得國際認(rèn)證的基本方案。認(rèn)證方案只有BS7799的第二部分和現(xiàn)在的ISO 27001可以做到。

兩個(gè)標(biāo)準(zhǔn)之間的對應(yīng)關(guān)系
ISO27001:2005的附件A中列出了ISO17799:2005也就是新編號ISO27002中的133個(gè)控件，并且遵循相同的編號系統(tǒng)，和使用同樣的關(guān)于控制措施的語言用詞。
ISO27001的前言中指出：控制目標(biāo)和控制措施直接來自ISO17799:2005，并且和它保持一致。
ISO27001規(guī)定：應(yīng)該從附件A中選擇控制目標(biāo)和控制措施，以滿足“風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理過程中確定的控管要求”。
ISO27002還提供了有關(guān)如何實(shí)現(xiàn)特定的控制措施的實(shí)質(zhì)性指導(dǎo)。任何一個(gè)ISO27001 ISMS的實(shí)施都將需要獲取和研究ISO27001和ISO27002兩份標(biāo)準(zhǔn)。
盡管ISO27001強(qiáng)制指定ISO27002作為一個(gè)控制措施選擇和部署的指導(dǎo)來源，它并不限制該組織對控制措施的選擇。序言接著指出：“ISO標(biāo)準(zhǔn)中的控制目標(biāo)和控制措施可能并不是很詳盡，組織可能需要考慮和采取更多的控制目標(biāo)和控制措施?！?/p>

相關(guān)文章：

ISO27001信息安全管理體系認(rèn)證背景 ISO/IEC27001的起源與發(fā)展？ ISO/IEC27001知識體系 ISO27001信息安全管理體系對組織環(huán)境的要求