La norma fornisce linee guida sulla gestione di un programma di audit di un sistema di gestione per la sicurezza delle informazioni (SGSI), sulla conduzione degli audit e sulla competenza degli auditor del SGSI, in aggiunta alle linee guida contenute nella ISO 19011:2011.
La ISO/IEC 27007 è applicabile a coloro che hanno necessità di comprendere o di condurre audit interni o esterni di un SGSI o gestire un programma di audit di un SGSI.