Kondisi keamanan yang akan dievaluasi meliputi 5 (lima) area yaitu :

1. Tata Kelola Keamanan Informasi
2. Manajemen Risiko Keamanan Informasi
3. Kerangka Kerja Pengelolaan Keamanan Informasi
4. Pengelolaan Aset Informasi
5. Teknologi Keamanan Informasi

Dalam implementasinya, ISO/IEC 27001:2005 menerapkan prinsip-prinsip pokok sebagai berikut:

• Prinsip 1 – Confidentiality
  Karakteristik informasi di mana hanya mereka yang memiliki akses dan kebutuhan dapat mengakses informasi tertentu,
• Prinsip 2 – Integrity
  Kualitas atau keadaan yang utuh, lengkap, dan tidak rusak. Integritas informasi bebas dari ancaman korupsi, kerusakan, kehancuran, atau gangguan lain,
• Prinsip 3 – Availability
  Karakteristik informasi yang memungkinkan pengguna mengakses informasi dalam format yang berguna tanpa interfensi atau gangguan,
• Prinsip 4 – Privacy
  Informasi dikumpulkan, digunakan dan disimpan oleh organisasi hanya dengan tujuan yang dinyatakan oleh pemilik data pada saat dikumpulkan. Privacy berarti bahwa informasi akan digunakan apabila diketahui oleh orang yg menyediakannya,
• Prinsip 5 – Identification
  Sistem informasi memiliki karakteristik identifikasi ketika mampu mengenali pengguna individu (username atau ID lainnya),
• Prinsip 6 – Authentication
  Memastikan adanya kontrol untuk membuktikan bahwa pengguna memiliki identitas yg ia klaim,
• Prinsip 7 – Authorization
  Menjamin bahwa pengguna (orang atau komputer) telah secara khusus dan secara eksplisit disahkan oleh otoritas yang tepat untuk mengakses, memperbarui, atau menghapus isi dari aset informasi,
• Prinsip 8 – Accountability
  Memastikan adanya kontrol yang memberikan jaminan bahwa setiap kegiatan yang dilakukan dapat dikaitkan dengan seseorang bernama atau proses otomatis.