มาตรฐาน ISO/IEC 27001 ใช้หลักการ PDCA (Plan-Do-Check-Act) เช่นเดียวกับมาตรฐานที่รู้จักกันอย่างแพร่หลาย เช่น ISO 9001(Quality Management System: QMS) ISO14001 (Environmental Management System : EMS) ดังนั้น องค์กรที่จัดทำระบบ ISO 9001 และ ISO 14001 อยู่แล้วสามารถทำความเข้าใจแนวทาง ISO/IEC 27001 ได้ไม่ยาก เพียงแต่เปลี่ยนมุมมองมาสนใจสารสนเทศ และวางแนวทางบริหารให้เกิดความมั่นคงปลอดภัย โดยผ่านกระบวนการ วางแผน (Plan) นำไปปฏิบัติ(Do) ทบทวนและตรวจสอบ (Check) และแก้ไขปรับปรุง (Act)
อีกทั้ง ยังเป็นมาตรฐานระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ เน้นความสำคัญของกระบวนการดำเนินงาน โดยยึดหลักการ Process-based approach คือ การจำแนกองค์ประกอบของการดำเนินงานเป็น 3 ส่วน ได้แก่ ส่วนแรก ปัจจัยนำเข้า (Input) ส่วนที่สอง กระบวนการ (Process) และส่วนที่สาม ผลลัพธ์ที่ต้องการ (Output)
นอกจากนี้ มีการรับรองกระบวนการ เพื่อยืนยันว่าองค์กรมีความสามารถในการควบคุมปัจจัยนำเข้า (Input) ให้ถูกต้องและเหมาะสมที่จะนำเข้าสู่กระบวนการ (Process) และมีแผนการควบคุมอย่างจัดเจน รวมทั้งมีการเฝ้าระวังและตรวจวัดอย่างสม่ำเสมอ ส่งผลให้ได้ผลลัพธ์ (Output) ที่ถูกต้องตรงตามความคาดหวัง และสามารถควบคุมการเปลี่ยนแปลงต่างๆ ที่อาจส่งผลต่อกระบวนการได้ เช่น การเปลี่ยนแปลงด้านบุคลากร เทคโนโลยี ตลอดจนกฎหมาย และกฎระเบียบต่างๆ เป็นต้น
