ISO27001的全称是“ISO/IEC 27001:2005信息技术—安全技术—信息安全管理体系—要求”，该标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据，无论是组织自我评估还是评估供方能力，都可以采用，也可以用作独立第三方认证的依据。

ISO27002的全称是：“ISO/IEC 27002:2005信息技术—安全技术—信息安全管理实用规则”，本标准为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。本标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。本标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求。本标准可以作为一个实践指南服务于开发组织的安全标准和有效的安全管理实践，帮助构建组织间活动的信心。

简单地说，ISO27001提出了风险评估和建立ISMS（信息安全管理体系）的要求，而ISO27002则为ISO27001的风险评估提供的可选择的控制目标和措施，通过实施ISO27002的控制目标和控制措施，达到控制ISO27001风险评估发现的高风险的目的。