La certificazione ISO/IEC 27001, parte della crescente famiglia di standard ISO/IEC 27000, è uno standard del sistema di gestione della sicurezza delle informazioni (ISMS) pubblicato nell'ottobre 2013 dall'Organizzazione internazionale per la standardizzazione (ISO) e dalla Commissione elettrotecnica internazionale (IEC). Il suo nome completo è ISO/IEC 27001:2013 – Information technology - Security techniques - Information security management systems (ISMS) - Requirements but it is commonly known as "ISO 27001". Un ISMS (Information security management system) è un sistema per gestire la sicurezza delle informazioni di un'azienda. La certificazione ISO/IEC 27001 specifica formalmente un sistema di gestione che ha lo scopo di portare la sicurezza delle informazioni sotto un controllo di gestione esplicito. Essere una specifica formale significa che impone requisiti specifici. Le organizzazioni che dichiarano di aver adottato la certificazione ISO/IEC 27001:2013 possono quindi essere formalmente controllate e certificate in conformità allo standard.
Esaminare sistematicamente i rischi per la sicurezza delle informazioni dell'organizzazione, tenendo conto delle minacce, delle vulnerabilità e degli impatti; Progettare e implementare una serie coerente e completa di controlli di sicurezza delle informazioni e/o altre forme di trattamento del rischio (come la prevenzione del rischio o il trasferimento del rischio) per affrontare i rischi ritenuti inaccettabili; e La gestione delle crisi della certificazione ISO 27001 mira a valutare i rischi e le vulnerabilità delle risorse di dati di un'organizzazione e a comprendere il rischio per la loro privacy, integrità e disponibilità.
La fase 1 è una revisione preliminare e informale dell'ISMS, ad esempio verificando l'esistenza e la completezza della documentazione chiave come la politica di sicurezza delle informazioni dell'organizzazione, la dichiarazione di applicabilità (SoA) e il piano di trattamento dei rischi (RTP).
La fase 2 è un audit di conformità più dettagliato e formale, che testa in modo indipendente l'ISMS rispetto ai requisiti specificati in ISO/IEC 27001. Gli auditor cercheranno prove per confermare che il sistema di gestione è stato correttamente progettato e implementato ed è effettivamente in funzione (ad esempio confermando che un comitato di sicurezza o un organo di gestione simile si riunisce regolarmente per supervisionare l'ISMS). Gli audit di certificazione sono condotti da Lead Auditor ISO/IEC 27001.