ISO27001中明确指出，标准中规定的要求是通用的，适用于所有的组织，无论其类型、规模和业务性质怎样。

如果由于组织及其业务性质而导致标准中有不适用之处，可以考虑对要求进行删减，但是务必要保证，这种删减不影响组织为满足由风险评估和适用的法律所确定的安全需求而提供信息安全的能力和责任，否则就不能声称是符合ISO27001标准的。

ISO27001可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据，无论是自我评估还是独立第三方认证。

截止到2019年12月31日，我国已颁发8,185张经CNAS认可认证机构颁发的ISO27001信息安全管理体系认证证书。

信息安全管理体系认证证书地域分布图（CNAS统计）

ISO27001标准中规定的要求是通用的，适用于各种类型、规模和业务特性的组织。当本标准的任何要求因组织及其业务特性而不适用时，可以考虑进行删减。组织声称符合本标准时，对于4、5、6、7、8章要求的删减不能接受。

如果有删减，除非这些删减不影响组织提供信息安全满足风险评估和适用法规的要求和责任的能力，否则不能声称符合标准。删减的范围仅限于标准附录A中列举的控制，任何删减必须根据风险评估结果判断，证明删减的控制不是达到和保持信息安全要求所必需的。