Com respeito à norma ISO 27001:2005, é correto afirmar que
especifica uma série de recomendações que, em seu conjunto, não chegam a constituir um completo sistema de gerenciamento de segurança da informação.
sua adoção, por si só, não é suficiente para permitir a auditoria independente do sistema de gerenciamento de segurança da informação.
descreve as técnicas de segurança da informação sob a forma de uma série de recomendações.
sua adoção permite a certificação independente do sistema de gerenciamento de segurança da informação.
seu escopo limita-se aos aspectos tecnológicos do manuseio e segurança da informação, não abrangendo aspectos que dizem respeito ao gerenciamento de recursos humanos.