Standard ISO 27001 składa się z kilku elementów: polityki bezpieczeństwa informacji, organizacji bezpieczeństwa informacji, bezpieczeństwa zasobów ludzkich, zarządzania aktywami, kontroli dostępu, kryptografii, bezpieczeństwa fizycznego i środowiskowego, bezpieczeństwa operacyjnego, bezpieczeństwa komunikacji, pozyskiwania danych, rozwoju i obsługi technicznej, relacji z dostawcami, zarządzania incydentami związanymi z bezpieczeństwem informacji, aspektów związanych z bezpieczeństwem informacji. Aby uzyskać certyfikat, wszystkie te kryteria muszą zostać spełnione.
