ISO27001对ISO27002标准引用是必须的，但对ISO27002所列举的133项控制措施的采用不是强制规定的。应该根据风险评估的结果，决定是否采用每项控制措施。

贯彻ISO27001时，首先要通过风险评估发现风险，确定安全要求和风险控制要求，然后在ISO27002的133项控制措施中选择适用的控制措施并实施以确保风险被降低到可接受的等级。当然，选用的控制措施并不局限在ISO27002所规定的133项之内，也可以选择另外的控制目标和控制措施。