Die Norm ISO/IEC 27001 wurde im Oktober 2005 als Ersatz für die alte Norm BS7799-2 veröffentlicht. Die Norm ISO 27001 enthält Spezifikationen für ein ISMS, ein Informationssicherheitsmanagementsystem. Die Norm BS7799 wurde zum ersten mal in den Neunzigerjahren als Sammlung von Verfahrensregeln veröffentlicht und hatte lange Bestand. Während sich diese Norm weiter entwickelte, wurde ein zweiter Teil angefügt, der Spezifikationen für Managementsysteme enthielt - und für die Erfüllung dieses Teils der Norm werden Zertifikate ausgestellt. Mittlerweile wurden in Bezug auf diese Norm in der ganzen Welt tausende von Zertifikaten erteilt.

Die Norm ISO/IEC 27001 bildet eine Erweiterung der Inhalte der Norm BS7799-2. In ihr wurde auch eine Harmonisierung mit anderen Normen erreicht. Verschiedene Zertifizierungsinstitute haben ein Programm eingeführt, über das von einer Zertifizierung nach Norm BS7799 eine Zertifizierung auf die neuere Norm ISO/IEC 27001 erreicht werden kann.

Die Ziele der Norm ISO/IEC 27001

Die Norm selbst soll als Modell für Einrichtung, Implementierung, Betrieb, Überwachung, Überprüfung, Wartung und Verbesserung eines Informationssicherheitsmanagementsystems dienen. Dessen Einführung in einer Organisation sollte eine strategische Entscheidung sein. Darüber hinaus wird "das Design und die Implementierung des ISMS einer Organisation durch deren Anforderungen und Zielsetzungen, deren Sicherheitsanforderungen, den jeweils angewandten Prozess und die Größe und Struktur der Organisation beeinflusst".

Die Norm ISO/IEC 27001 definiert ihre 'Prozessmethode' als "Die Anwendung eines Systems von Prozessen innerhalb einer Organisation und die gleichzeitige Identifizierung und Interaktion dieser Prozesse und deren Management". ISO 27001 wendet das PDCA-Modell ("Plan-Do-Check-Act") an, um diese Prozesse zu strukturieren und spiegelt die in den Richtlinien der OECD niedergelegten Prinzipien wieder (siehe oecd.org).