ISO27001认证有如下几点改变:
标准4-7章,说明管理体系的一般要求,包括: 组织的情境、策划和支持等;标准8章,描述ISMS实施要求,包括信息风险评估和处置;标准9章,描述监视,测量和评审活动
的要求;标准10章,描述改后活动的要求;其中,取消了预防措施。信息风险管理与ISO 31000的风险管理保持1致。
新版的ISO 27001标准中信息风险管理要求与ISO 31000:2009 (Risk management——Principles and guidelines) 保持1致,并遵从其中的定义。