ISO/IEC 27001

ISO/IEC 27001 merupakan seperangkat spesifikasi yang dapat digunakan oleh organisasi untuk mendapatkan pengakuan dan sertifikasi atas system manajemen keamanan informasi (Information Security Management System/ISMS) organisasi tersebut.

ISO/IEC 27001 secara jelas menjabarkan perasyaratan-persyaratan untuk menetapkan, mengimplementasikan, memonitor dan mengevaluasi, memelihara dan meningkatkan sistem manajemen dalam rangka mengendalikan risiko terkait keamanan informasi organisasi tersebut.

Seperti halnya standard sistem manajemen lainnya, standard ini juga dapat diterapkan disemua tipe organisasi  (misal perusahaan yang bersifat komersil, pemerintahan,  dan organsasi nirlaba) dan semua ukuran organisasi dari yang kecil (micro-business) hingga yang multinasional.

Di era keterbukaan informasi seperti saat ini, memasukkan unsur keamanan ke dalam mekanisme pengendalian organisasi sudah menjadi kebutuhan dasar untuk memastikan keberlangsungan perputaran roda organisasi. Agar dapat menyatu dengan sistem manajemen lainnyam maka ISO/IEC 27001 telah memasukan unsur Plan-Do-Check-Act (PDCA) sebagaimana mekanisme peningkatan efektifitas sistem. 

Sebagai contoh, pengenadalian kemananan informasi tidak hanya ditentukan dan diimplementasikan sebagai sebuah aktifitas yang terjadi disuatu kesempatan saja (misalkan diawal penerapan sistem), tetapi secara berkelanjutan keamanan informasi akan di evaluasi dan disesuaikan dengan situasi dan kondisi yang ada. situasi dan kondisi tersebut dapat terkait dengan ancaman terhadap keamanan informasi, kemudahan hilang atau tercurinya informasi akibat berkembangnya teknologi informasi, serta permasalah-permasalahan aktual yuang terjadi

ISO/IEC 27001:2005

Information technology - Security techniques - Information security management system -Requirement 

sebagai bagian dari pengembagangan stratregi organisasi, ISO/IEC 27001 umumnya diperuntuikan untuk tujuan berikut ini :

- Formulasi persyaratan dan sasaran keamanan informasi 

- Memastikan efektifitas biata dan pengendalian risiko keamanan informasi 

- Memastikan ketaatan terhadap persyaratan, peraturan dan perundangan yang berlaku

- sebagai suatu kerangka kerja dalam implementasi dan manajemen pengendalian keamanan informasi

- Digunakan oleh auditor internal dan eksternal untuk mendemontrasikan kesesuaian sistem manajemen keamanan informasi dan kebijakan, aturan dan starndar terkait, termasuk untuk memberikan bukti kesesuaian ini kepada mitra kerja organisasi.

Persyaratan metode pengendalian (Information Security Control) dari ISO/IEC 27002 dijelaskan dalam lampiran (Annex) ISO/IEC 27001. Organisasi yang mengadopsi standar ISO/IEC 27001 dapat memilih dengan bebas metode pengendalian yang diperlukan untuk memastikan efektifitas pengendalian keamanan informasinya, didasarkan pada hasil evaluasi risiko yang telah dilakukan sebelumnya.