ISO 27001/IEC jest standardem na podstawie którego można zbudować, wdrożyć             a następnie certyfikować System Zarządzania Bezpieczeństwem Informacji.

Norma została  opublikowana przez Międzynarodową Organizację Normalizacyjną oraz Międzynarodową Komisję Elektrotechniczną w październiku 2005 roku. Polska wersja normy funkcjonuje od roku 2007 pod nazwą PN-ISO/IEC 27001.

Dzięki spełnieniu wymagań normy ISO 27001 możliwa jest ochrona zasobów informacyjnych, którymi dysponuje organizacja.

Norma definiuje 11 obszarów, dla których mają zastosowanie wymagania dotyczące bezpieczeństwa informacji w organizacji. Są nimi m.in.: polityka bezpieczeństwa, organizacja bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo zasobów ludzkich czy bezpieczeństwo fizyczne i środowiskowe.

 Norma może zostać wdrożona przez każdą organizację, która zdaje sobie sprawę z ważności posiadanych informacji i konsekwencji jakie może ponieść w momencie gdy nie zostaną one w sposób odpowiedni zabezpieczone. Norma pozwala w sposób najlepszy dla organizacji zabezpieczyć posiadane przez nią informacje, nie narzuca żadnych rozwiązań.

Jej celem nie jest regulacja wymaganiach technicznych lecz prawnych mających zastosowanie w obszarze bezpieczeństwa informacji.

Założenia normy ISO 27001 działają na podstawie ciągłego doskonalenia zgodnego                         z Cyklem Deminga czyli: Planuj, Wykonuj, Sprawdzaj i Działaj.

Korzyści wdrożenia dla organizacji Systemu Zarządzania Bezpieczeństwem to:

- sprawniejsze działanie całej organizacji

- spełnienie regulacji prawnych które określają ustawy: o ochronie danych osobowych,                         o ochronie informacji niejawnych, o dostępie do informacji publicznej czy prawie autorskim    i prawach pokrewnych

- zabezpieczenie możliwości wydostania się informacji na zewnątrz organizacji lub ich utraty na skutek np. awarii

- jasno określone uprawnienia dostępu do informacji i odpowiedzialności pracowników

- podejmowanie decyzji w oparciu o informacje wysokiej jakości