ISO/IEC 27001 - Katalóg firiem
Systém riadenia informačnej bezpečnosti podľa ISO 27001 je dokumentovaný systém dokazujúci, že identifikované aktíva sú chránené, riziká bezpečnosti informácií sú riadené, sú zavedené opatrenia s požadovanou úrovňou záruky a sú kontrolované. Cieľom je znižovať riziká organizácie vyplývajúce z analýzy, a mať zavedené také opatrenia, aby tolerované riziká boli najďalej riadené a kontrolované. Za aktíva sú považované nie je informácie vyskytujúce sa v organizácii (o zákazníkoch, technologických postupoch, finančných tokoch organizácie, o produktoch/službách organizácie a pod.), ale aj fyzické hmotné aktíva ktoré majú vplyv bezpečnosť organizácie ako takú (napr. kľúčový režim organizácie, zabezpečenie a ochrana priestorov organizácie, používanie pridelených predmetov organizácie (PC, mobil), a pod.).
Norma je veľmi kompatibilná a variabilná, teda je možné ju implementovať (zaviesť) pre akýkoľvek typ organizácie (výroba, poskytovanie služieb, obchod, návrh a vývoj SW, a pod.). Norma berie rovnako do úvahy požiadavky zainteresovaných strán, vonkajších a vnútorných súvislostí, požiadavky zákazníkov, majiteľov, dodávateľov, ktoré je nutné zakomponovať do interného systému riadenia.