Norma ISO 27001
Norma ISO/IEC 27001:2005 jest międzynarodowym standardem dotyczącym zarządzania bezpieczeństwem informacji wydanym w 2005 przez ISO (International Organization for Standardization) i Międzynarodowy Komitet Elektrotechniczny (International Electrotechnical Commission) opracowanym na podstawie wycofanej już brytyjskiej normy BS7799-2:2002. Istnieją również wydane przez Polski Komitet Normalizacyjny polskie odpowiedniki obu standardów – aktualny PN-ISO/IEC 27001:2014-12 oraz wycofany PN-I-07799:2005. ISO/IEC 27001:2014-12 określa wymagania dla ustanowienia, wdrożenia, zarządzania, monitorowania i przeglądu udokumentowanego systemu zarządzania bezpieczeństwem informacji (SZBI) oraz 11 obszarów mechanizmów kontrolnych obejmujących:

• politykę bezpieczeństwa,
• organizację bezpieczeństwa,
• zarządzanie aktywami,
• bezpieczeństwo zasobów ludzkich,
• bezpieczeństwo fizyczne i środowiskowe,
• zarządzanie systemami i sieciami,
• kontrolę dostępu,
• pozyskiwanie, rozwój i utrzymanie systemów informatycznych,
• zarządzanie incydentami bezpieczeństwa,
• zarządzanie ciągłością działania,
• zapewnienie zgodności z wymaganiami wewnętrznymi i prawnymi.

Na tej podstawie należy stwierdzić, iż opisywany standard gwarantuje w pełni kompleksowe podejście do problemu bezpieczeństwa informacji, obejmując swym zakresem nie tylko zagadnienia związane z teleinformatyką, lecz również z bezpieczeństwem osobowym, fizycznym oraz organizacyjno-prawnym.

Standard ISO/IEC 27001

Zgodnie z PN-ISO/IEC 27001:2014-12 system zarządzania bezpieczeństwem informacji (ISMS — Information Security Management System) jest to ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji.

ISMS dotyczy struktury organizacyjnej, polityki, zaplanowanych działań, zakresów odpowiedzialności, zasobów, procesów oraz procedur. Na proces planowania i implementacji ISMS wpływają potrzeby i cele biznesowe organizacji, wymagania bezpieczeństwa, wykonywane procesy oraz wielkość i struktura jednostki. Wdrożenie systemu zarządzania bezpieczeństwem informacji powinno być dla organizacji decyzją strategiczną.