ISO/IEC 27002是信息安全最佳惯例的集合，主要为组织制定信息安全策略和进行有效的信息安全控制提供通用的最佳惯例。虽然，实施细则追求尽可能的趋于全面，尽可能符合国际最佳做法。但是，实施细则中所提供的控制方法并非对每个组织都是充分的，也不是对每个组织都是缺一不可的，它没有考虑实际信息系统在环境和技术上的限制因素。标准也没有就这些控制细则的协调使用提供方案。由此来看，单纯的ISO/IEC 27002无法保证信息安全管理的系统性和充分性，无法用于认证。

ISO/IEC 27001可以作为信息安全管理体系的认证标准。