ISO/IEC 27001:2005 je glavni standard upravljanja sigurnošću informacionih sistema (ISMS), koji specificira zahteve za uspostavljanje, implementaciju, rukovanje, praćenje, pregled, održavanje i poboljšanje sistema za upravljanje bezbednošću informacija. Sa standardom ISO/IEC 27006:2007 daje uputstva za interpretaciju celokupnog procesa planiraj-uradi-proveri-deluj.
Ključne oblasti, koje se moraju uzeti u obzir prilikom implementacije ISO/IEC 27001:2005, su:
Politika bezbednosti;
Organizacija bezbednosti;
Klasifikacija i kontrola imovine;
Bezbednost osoblja;
Fizička bezbednost i bezbednost sredine;
Upravljanje komunikacijama i operacijama;
Kontrola pristupa;
Razvoj i održavanje sistema;
Upravljanje poslovnim kontinuitetom;
Usaglašenost;
Upravljanje rizicima.
Standard ISO/IEC 27001:2005 definiše zahteve za sprovođenje kontrole sigurnosti prilagođene potrebama pojedinih organizacija ili njihovih delova. Ovaj standard obuhvata sve tipove organizacija (komercijalna preduzeća, vladine agencije, neprofitne organizacije). Standard ISO/IEC 27001:2005 je dizajniran tako da obezbedi izbor adekvatne bezbednosne kontrole, koja štiti informacije kompanije, koja time stiče i opravdava poverenje zainteresovanih strana. Standard ISO/IEC 27001:2005 je koncipiran da bude pogodan za više različitih tipova upotrebe u okviru organizacije, uključujući sledeće:
Formulisanje zahteva u pogledu ciljeva i zaštite informacija;
Usklađenost sa zakonima i propisima;
Upravljanje kontrolom kako bi se osiguralo da se ispune određeni bezbednosni ciljevi organizacije;
Definisanje novih informacionih procesa za upravljanje bezbednošću;
Identifikaciju i razjašnjavanje postojećih informacionih procesa bezbednosti informacija;
Korišćenje od strane internih i eksternih revizora organizacije radi utvrđivanja stepena usklađenosti sa smernicama, direktivama i standardima usvojenim u organizaciji;
Korišćenje od strane organizacije radi pružanja relevantne informacije o politici informacione bezbednosti trgovinskim partnerima i drugim organizacijama sa kojima sarađuju iz operativnih ili komercijalnih razloga;
Korišćenje od strane organizacije da pruži relevantne informacije o bezbednosti informacija za klijente.