ISO27000標準中規定的要求是通用的，適用于各種類型、規模和業務特性的組織。當本標準的任何要求因組織及其業務特性而不適用時，可以考慮進行刪減。組織聲稱符合本標準時，對于4、5、6、7、8章要求的刪減不能接受。

        如果有刪減，除非這些刪減不影響組織提供信息安全滿足風險評估和適用法規的要求和責任的能力，否則不能聲稱符合標準。刪減的范圍僅限于標準附錄A中列舉的控制，任何刪減必須根據風險評估結果判斷，證明刪減的控制不是達到和保持信息安全要求所必需的。