Przez bezpieczeństwo informacji rozumiemy ochronę danych i systemów komputerowych, w których te dane są przechowywane i przetwarzane. Głównym celem ochrony jest zabezpieczenie informacji przed nieuprawnionym dostępem, niewłaściwym użyciem, kradzieżą, modyfikacją lub zniszczeniem.

Obok samego zabezpieczenia informacji wraz z dynamicznym rozwojem technologii telekomunikacyjnych, coraz istotniejszą rolę odgrywa jak najkrótszy czas bezpiecznego zdobywania, przesyłania i przetwarzania informacji. Norma ISO/IEC 27001:2007 powstała dla zobrazowania modelu oraz ustanawiania, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu zarządzania bezpieczeństwem informacji (SZBI). W normie tej, podobnie jak w innych normach z rodziny ISO, zastosowano podejście procesowe. W procesie wdrożenia i eksploatacji systemu zarządzania bezpieczeństwem informacji, używany jest model PDCA (tłumacząc z angielskiego - planuj, wykonuj, sprawdzaj, działaj). Planowanie obrazuje ustanowienie polityki SZBI, celów oraz procesów związanych z wdrażanym systemem, a więc powoływaniem do życia SZBI. Wykonywanie odnosi się do zastosowania i eksploatacji systemu zarządzania bezpieczeństwem informacji, czyli wdrożeniem procedur, procesów, polityki oraz zabezpieczeń. Sprawdzanie odzwierciedla wszelkie działania związane z monitorowaniem oraz przeglądem systemu zarządzania i bezpieczeństwa informacji, sporządzaniem raportów dla kierownictwa, testowaniem procesów, ich wydajności w porównaniu z ustaloną polityką oraz celami. Ostatnim elementem modelu PDCA jest działanie, polegające na ciągłym rozwijaniu i doskonaleniu systemu, podejmowaniu działań korygujących i zapobiegawczych. Właśnie takie procesowe podejście charakteryzuje się łatwą integracją systemu zarządzania bezpieczeństwem informacji z już istniejącymi lub równolegle wdrażanymi systemami zarządzania z rodziny ISO.

Norma ISO/IEC 27001:2007 zawiera wymagania dla systemu zarządzania bezpieczeństwem informacji i możemy ją podzielić na dwie zasadnicze części. Pierwsza część zawiera podstawowe definicje modelu zarządzania bezpieczeństwem informacji, natomiast część druga zawiera Załącznik A. Załącznik A został podzielony na jedenaście kategorii zaleceń dla organizacji, wskazujących środki ochrony, które organizacja może wykorzystać zabezpieczając swoje informacje.
Wśród jedenastu obszarów zaleceń dla organizacji wyróżniamy:
• politykę bezpieczeństwa;
• organizację bezpieczeństwa informacji;
• zarządzanie aktywami;
• bezpieczeństwo zasobów ludzkich;
• bezpieczeństwo fizyczne i środowiskowe;
• zarządzanie systemami i sieciami;
• kontrolę dostępu;
• pozyskiwanie, rozwój i utrzymanie systemów informatycznych;
• zarządzanie incydentami związanymi z bezpieczeństwem informacji;
• zarządzanie ciągłością działania;
• zgodność.

Norma ISO/IEC 27002 zawiera opis zaleceń związanych z budowaniem, użytkowaniem i rozwijaniem SZBI oraz spis najlepszych praktyk. Informacje zawarte w normie są ściśle powiązane z Załącznikiem A normy ISO/IEC 27001. Każde wymaganie zawarte w tym załączniku znajduje odzwierciedlenie w postaci zaleceń w normie ISO/IEC 27002. Znajdziemy w niej szeroko omówione zagadnienia, wypunktowane zaledwie w załączniku A normy ISO/IEC 27001, a także propozycje konkretnych rozwiązań poszczególnych wymagań. Przykładem takiego omówienia jest np. A.11.3.1, który w normie ISO/IEC 27001 traktuje o używaniu haseł. W Załączniku A jedynym omówieniem jest zdanie: „Podczas wyboru i używania haseł użytkownicy powinni postępować zgodnie ze sprawdzonymi praktykami bezpieczeństwa.” Natomiast w rozdziale 9.3.1 standardu ISO/IEC 27002 możemy przeczytać, że użytkownicy powinni utrzymywać swoje hasła w tajemnicy, nie zapisywać ich na papierze, zmieniać hasła po ich ujawnieniu, wybierać hasła o odpowiedniej złożoności oraz optymalnej długości oraz zmieniać je w regularnych odstępach czasu.