相比于旧版本,ISO/IEC 27001:2013的要求现有大控件目、35个控制目标及114个控制措施,主要改变是配合Annex SL的高阶架构模式,适合于组织借此发展并实施全球管理资讯安全(如:财务资讯、通讯行业、保险业、智慧财产、员工资料等公司营运资讯),更可涵盖客户和公司的资讯,是唯一能协助组织真正独立评估其资讯安全管理系统的国际标准。
ISO/IEC 27001:2013已成为一个国际标准,其意义除了国际认可并接受英国标准外,组织更可借此发展并实施一项全球架构的制度来管理资讯的安全;其中包含不论是公司本身的营运资讯,例如财务资讯、智慧财产、员工资料等等,或者是客户或第三方委托给公司的资讯。事实上,此标准是组织可以获得真正独立评估其资讯安全管理系统(ISMS)的唯一国际标准。
此国际标准ISO/IEC 27001:2013有些许更新,系就原英国标准BS 7799中的规定加以阐明并加强。更新的主要区域在风险评鉴、契约责任、范围、管理决策,以及评量其所选择控制措施之有效性。此标准对客户的最大影响是在于要求其对所选择之控制措施之有效性作评量。