ISO 27001 en 27002 zijn beide normen voor informatiebeveiliging, maar ze hebben verschillende doelen en focusgebieden. Bij ISO 27002 (en ISO 27003) gaat het om concrete (beveiligings)maatregelen. Bij ISO 27001 gaat het om management. Zo kun je in een ISO 27002 handboek een tekst over een firewall tegenkomen. In een ISO 27001 handboek staat bijvoorbeeld een tekst over hoe te reageren op een cyberincident.