ISO 27001, sub denumirea completă „ISO/IEC 27001 – Tehnologia informației – Tehnici de securitate – Sisteme de management al securității informației – Cerințe”, reprezintă cel mai important standard internațional axat pe securitatea informațiilor.

Este un etalon publicat de două organizații internaționale de vârf care dezvoltă standarde internaționale: Organizația Internațională pentru Standardizare și Comisia Electrotehnică Internațională. Obținerea certificatului 27001 - Standardul despre securitatea informatiei este o măsură dezvoltată pentru a ajuta organizațiile să își protejeze informațiile într-un mod sistematic și rentabil, prin adoptarea unui sistem de management al securității informațiilor (ISMS).

Acest standard nu numai că le oferă companiilor cunoștințele necesare în vederea protejării celor mai valoroase informații, dar le oferă și posibilitatea de a le dovedi clienților și partenerilor că le protejează datele. Fiind un standard internațional, acesta este recunoscut în întreaga lume, sporind astfel oportunitățile de afaceri pentru organizații și pentru profesioniștii în domeniu.

Obiectivul de bază al acestei certificări este reprezentat de protejarea a trei aspecte importante în ceea ce privește informația: confidențialitatea, integritatea și disponibilitatea. Astfel, prin protecția confidențialității se asigură accesul la informații doar de către persoanele autorizate, prin asigurarea integrității se asigură că numai persoanele autorizate pot schimba informațiile, iar prin asigurarea disponibilității se asigură că informațiile sunt accesibile persoanelor autorizate să le acceseze ori de câte ori acestea le sunt necesare.

Sistemul de management al securității informațiilor reprezintă un set de reguli pe care o companie trebuie să le stabilească în vederea identificării părților interesate și a așteptărilpr pe care le au față de companie în ceea ce privește securitatea informațiilor. De asemenea, acesta ajută la identificarea riscurilor existente în ceea ce privește informația din cadrul companiei, precum și la definirea controalelor și a altor metode de atenuare pentru a satisface așteptările identificate și cele pentru gestionarea riscurilor. În plus, sunt stabilite obiective clare cu privire la aspectele care trebuie atinse în vederea securității informațiilor, sunt implementate toate controalele și metodele de tratare a riscurilor, sunt măsurate continuu aspectele privind funcționarea controalelor implementate pentru a vedea dacă acestea funcționează conform așteptărilor și sunt realizate îmbunătățiri continue pentru ca sistemul de management al securității informației să funcționeze bine.

Procesul de certificare ISO 27001 este, de regulă, împărțit în trei etape, astfel:

1. Organizația angajează organismul de certificare, apoi efectuează o revizuire de bază a ISMS pentru a căuta principalele forme de documentare;
2. Organismul de certificare efectuează un audit aprofundat în cazul în care componentele individuale ale ISO 27001 sunt verificate în raport cu ISMS-ul organizației. Trebuie arătate dovezi că politicile și procedurile sunt urmate în mod corespunzător, iar auditorul principal este responsabil de stabilirea obținerii sau neobținerii certificatului.
3. Sunt programate audite de urmărire între organismul de certificare și organizație pentru a se asigura că conformitatea este ținută sub control.

Auditul de certificare acoperă controalele în ceea ce privește politicile de securitate a informațiilor, organizarea securității informațiilor, securitatea resurselor umane, managementul activelor, criptografia, securitatea fizică și de mediu, securitatea operațiunilor, securitatea comunicațiilor, achiziționarea, dezvoltarea și întreținerea sistemului, relațiile cu furnizorii, gestionarea incidentelor de securitate a informațiilor, aspectele de securitate a informațiilor privind gestionarea continuității activității.