La principal diferencia entre la ISO 27001 y la ISO 27002 es que la primera es una norma de requisitos, mientras que la segunda es una norma de gua. La ISO 27001 establece los requisitos que debe cumplir un SGSI para que sea efectivo, mientras que la ISO 27002 proporciona directrices sobre cmo implementar los controles necesarios para cumplir con esos requisitos, especficamente aquellos enlistado en el Anexo A de ISO/IEC 27001