ISO/IEC 27002:2005致力于安全方针及通用最佳惯例方面的问题，标准主要包括下列几部分内容：

（1）、安全方针：为信息安全提供管理指导和支持；

（2）、信息组织安全：建立信息安全框架，保证组织的内部管理，协调与外部组织的关系，保障组织的信息安全；

（3）、资产管理：明确资产责任，保持对组织资产的适当保护；将信息进行分类，确保信息资产受到适当程度的保护；

（4）、人力资源安全：在工作说明和资源方面，减少因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清楚知道信息安全的危险性和相关事项，以便在他们的日常工作中支持组织的安全方针；制定安全事件或故障的响应程序，减少由安全事件和故障造成的损失，监控安全事件并从此类事件中吸取教训；

（5）、物理与环境安全：确定安全区域，防止非授权访问、破坏、干扰业务场所和信息；通过保障设备安全，防止资产的丢失、破坏、资产危害及业务活动的中断；采用通用的控制方式，防止信息或信息处理设施损坏或失窃；

（6）、通信和运作安全：明确运作程序及其职责，确保信息处理设施的正确、安全操作；加强系统策划与验收，减少系统失效风险；防范恶意软件以保持软件和信息的完整性；加强内务管理以保持信息处理和通讯服务的完整性和有效性；通过加强网络管理确保网络中的信息安全及其辅助设施受到保护，通过保护媒体处置的安全，防止资产损坏和业务活动的中断；加强信息和软件交换的控制，防止组织间信息在交换时发生丢失、更改和误用；

（7）、访问控制：按照组织的业务要求，控制信息访问，明确用户信息安全责任，加强对网络、操作系统、应用程序、移动式计算设备和传真等的访问控制，监控系统的访问情况，及时发现违反组织信息安全方针和访问控制方针的情况；

（8）、信息系统的获取、开发以及维护：明确系统安全要求，确保安全性已构成信息系统的一部分；加强应用系统的安全，防止应用系统用户数据的丢失、被修改或误用；加强密码技术控制，保护信息的保密性、可用性或完整性；加强系统文件的安全，确保IT方案及其支持活动以安全的方式进行；加强开发和支持过程的安全，确保应用系统软件和信息的安全；

（9）、信息安全事件管理：保证对与信息系统相关联的信息安全事情和弱点的沟通，及时相应，从而允许及时采取纠正措施。通过建立正式的报告和升级程序，使所有的员工、合同方和第三方用户都清楚了解可能对组织资产的安全构成威胁的不同类型的事情和缺陷的报告程序。确保尽快将任何信息安全事情和弱点向指定的联系点报告；

（10）、业务持续性管理：防止业务活动的中断，保护关键业务过程不受重大失误或灾难事件的影响；

（11）、符合性：符合法律法规要求，避免与刑法、民法、有关法令法规或合同要求相抵触；加强安全方针和技术符合性评审，确保体系按照组织的安全方针及标准执行；系统审核考虑因素，使效果最大化，并使系统审核过程的影响最小化。

虽然标准从这11个大的方面列举了133种控制、500个左右的子控制点，但是标准声明并不是所有的控制都适合任何组织，组织可以根据自己的实际情况选择控制；而且标准中列举的控制也不一定是足够的，组织可以根据需要增加额外的控制。