دانش یکی از مهمترین ارزش های یک سازمان در تضمین پیوستگی کسب و کار است. در صورت از دست دادن بسیاری از دارایی ها، اطلاعات از دست رفته معادل پولی نیست. به همین دلیل، در شرایط امروز در حال تغییر و توسعه، اهمیت اطلاعات و ضرورت حفاظت به تدریج افزایش می یابد. اطلاعات؛ این را می توان در نوشتن، رسانه های الکترونیکی، کلامی، حافظه کارمند و بسیاری از فرمت های دیگر ذخیره و ذخیره کرد. با توجه به پیشرفت های تکنولوژیکی، بسیاری از این نوع استفاده ممکن است در طول زمان تغییر کند یا تغییر نکند. به دليل اين تغيير و توسعه، امنيت اطلاعات بايد به طور مداوم مورد سوالات و کنترل قرار گيرد. امنیت اطلاعات حفاظت از محرمانه بودن، یکپارچگی و قابلیت استفاده از اطلاعات است.
ایزو 27001 سیستم مدیریت امنیت اطلاعات یک سیستم مدیریتی است که شامل افراد، فرآیندها و سیستم های اطلاعات در ارائه امنیت اطلاعات شرکتی است و توسط مدیریت ارشد پشتیبانی می شود. این طرح برای محافظت از دارایی های اطلاعاتی طراحی شده و کنترل های امنیتی مناسب و مناسب را ارائه می دهد که به طرفین علاقه مند اطمینان می دهد. ایزو 27001 سیستم مدیریت امنیت اطلاعات شامل ساختار شرکت، سیاست ها، فعالیت های برنامه ریزی، مسئولیت ها، برنامه های کاربردی، رویه ها، فرایندها و منابع است. پایه های ISO 27001 و ISO 27002 استانداردهای سیستم مدیریت امنیت اطلاعات بر اساس استاندارد BS 7799 است. BS 7799 BSI (موسسه استاندارد بریتانیا) در 1995 منتشر شد و شامل دو بخش است. قسمت اول، BS 7799-1 شامل بهترین شیوه های مدیریت امنیت اطلاعات است. در 2000، این استاندارد توسط ISO به تصویب رسید و به عنوان فناوری اطلاعات ایزو 17799 - اصول برنامه مدیریت امنیت اطلاعات منتشر شد. ISO 17799 2007 به سری ISO 27000 به عنوان ISO 27002 ادغام شد. بخش دوم توسط BSI در 7799 تحت نام BS 2 1999 سیستم مدیریت امنیت اطلاعات مورد نیاز منتشر شد. این استاندارد بر نحوه ایجاد ISMS تمرکز داشت. در 2005، توسط ISO تحت نام ISO سیستم مدیریت امنیت اطلاعات مورد نیاز 27001 منتشر شده است. ISO 27001 و آخرین نسخه های استانداردهای 27002 در 25.09.2013 منتشر شد.
ISO / IEC 27001: 2013 نیازهای نصب، پیاده سازی، اجرای و بهبود مستمر سیستم مدیریت امنیت اطلاعات را در دامنه سازمان تعریف می کند. همچنین شامل الزامات برای ارزیابی و بهبود خطرات امنیتی اطلاعات مرتبط با نیازهای سازمان می باشد. ISO / IEC 27001: الزامات داده شده در 2013 به طور کلی و در نظر گرفته شده است که قابل اجرا برای همه، صرف نظر از نوع، اندازه و ماهیت سازمان است. ایزو 27001 نیازمند سازمانها برای آماده سازی ریسک و برنامه ریزی ریسک، وظایف و مسئولیت ها، برنامه های تداوم کسب و کار، روش های مدیریت اضطراری حوادث است و آنها را در عمل نگهداری می کند. اداره باید یک سیاست امنیتی اطلاعات را که شامل همه این فعالیت ها است، افزایش دهد و آگاهی کارمندان پرسنل درباره امنیت اطلاعات و تهدیدات را افزایش دهد. مدیریت اطلاعات امنیت تنها با حمایت فعال مدیریت و مشارکت پرسنل به عنوان یک فرآیند زندگی که در آن اهداف کنترل انتخاب شده اندازه گیری شده و پیگیری و عملکرد کنترل ها به طور مداوم نظارت می شود، به دست می آید.
