Ayuda a las organizaciones a identificar los riesgos vinculados a la información que se genera y se custodia (propia o de terceros).
Una empresa certificada en ISO 27001 es sinónimo de empresa comprometida en salvaguardar la información propia o de terceros.
Para ello la organización deberá identificar los activos (información, equipos, software, personas, etc.), y determinar qué tipo de seguridad se requiere para cada uno de ellos y su interactuación o intercambio de información.
Este estándar internacional permite a las organizaciones tener información más Confiable, Íntegra, Disponible, Auténtica y Trazable. El grado de cada uno de los aspectos lo determinará la tipología del dato, y su criticidad, es decir, cuán crítica es su pérdida de integridad, su no disponibilidad, su falta de autenticidad, su imposibilidad de trazar el origen de los cambios no autorizados de la información, y la seguridad de que ese dato es el que debe ser, el original.

Esta norma internacional se ha preparado para proporcionar los requisitos para el establecimiento, implementación mantenimiento y mejora continua de un sistema de gestión de seguridad de la información. La adopción de un sistema de gestión de seguridad de la información es una decisión estratégica para una organización. El establecimiento e implementación de un sistema de gestión de seguridad de la información por una organización esta condicionado por sus necesidades y objetivos, sus requisitos de seguridad, los procesos organizativos utilizados y su temario y estructura. Lo previsible es que todos estos factores condicionantes cambien con el tiempo.
El sistema de gestión de seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y otorga a las partes interesadas confianza sobre la adecuada gestión de los riesgos.
Es importante que el sistema de gestión de seguridad de la información forme parte y este integrado con los procesos de la organización y con la estructura de gestión global, y que la seguridad de la información se considere durante el diseño de procesos, de los sistemas de información y de los controles. Es de esperar que la implementación del sistema de gestión de seguridad de la información se ajuste a las necesidades de la organización.
Esta norma internacional puede ser utilizada por partes internas y externas para evaluar la capacidad de la organización para cumplir con sus propios requisitos de seguridad.
El orden en que esta norma internacional presenta los requisitos no es reflejo de su importancia ni implica el orden en el cual deben implementarse. Los diferentes elementos de cada listado se enumeran solo a titulo de referencia.
La Norma ISO/IEC 27000 describe la visión de conjunto y el vocabulario de los sistemas de gestión de seguridad de la información, haciendo referencia a la familia de normas de sistemas de gestión de seguridad de la información (incluyendo las Normas ISO/IEC 27003 [2], ISO/IEC 27004 [3] e ISO/IEC 27005 [4]), junto con los términos y definiciones relacionados.