ISO 27001

ISO / IEC 27001: 2013 menetapkan persyaratan untuk menetapkan, menerapkan, memelihara dan terus meningkatkan sistem manajemen keamanan informasi dalam konteks organisasi.  Mencakup persyaratan untuk penilaian dan penanganan risiko keamanan informasi yang disesuaikan dengan kebutuhan organisasi. Persyaratan yang ditetapkan dalam ISO / IEC 27001: 2013 bersifat umum.

Penerapan sistem manajemen keamanan informasi merupakan keputusan strategis untuk suatu organisasi. Pembentukan dan penerapan sistem manajemen keamanan informasi organisasi dipengaruhi oleh kebutuhan dan tujuan organisasi, persyaratan keamanan, proses organisasi yang digunakan serta ukuran dan struktur organisasi. Semua faktor yang memengaruhi ini diharapkan berubah seiring waktu.

Sistem manajemen keamanan informasi menjaga kerahasiaan, integritas, dan ketersediaan informasi dengan menerapkan proses manajemen risiko dan memberi kepercayaan kepada pihak yang berkepentingan bahwa risiko dikelola secara memadai.

Penting bahwa sistem manajemen keamanan informasi merupakan bagian dari dan terintegrasi dengan proses organisasi dan struktur manajemen secara keseluruhan dan keamanan informasi dipertimbangkan dalam desain proses, sistem informasi, dan kontrol. Diharapkan bahwa implementasi sistem manajemen keamanan informasi akan ditingkatkan sesuai dengan kebutuhan organisasi.

Standar Internasional ini dapat digunakan oleh pihak internal dan eksternal untuk menilai kemampuan organisasi untuk memenuhi persyaratan keamanan informasi organisasi itu sendiri. Urutan di mana persyaratan disajikan dalam Standar Internasional ini tidak mencerminkan kepentingannya atau menyiratkan urutan di mana mereka akan dilaksanakan. Item daftar disebutkan untuk tujuan referensi saja.

ISO / IEC 27000: 2013 menguraikan ikhtisar dan kosakata sistem manajemen keamanan informasi, yang merujuk pada keluarga standar sistem manajemen keamanan informasi (termasuk ISO / IEC 27003, ISO / IEC 27004 dan ISO / IEC 27005, dengan istilah dan definisi terkait.