Die Norm ISO/IEC 27001 enthält Vorgaben für ein „Informationssicherheits-Managementsystem“ (ISMS). Ein ISMS besteht aus aufeinander abgestimmten Richtlinien, Verfahrensweisen und Ressourcen, die ein Unternehmen zu dem Zweck einsetzt, die Informationssicherheit zu kontrollieren und fortlaufend zu verbessern. Vorläufer des ISO-Standards 27001 gehen bis in die 1980er Jahre zurück. Der Standard ist Teil einer Normreihe (ISO/IEC 2700x), deren praktisch wichtigste Dokumente sind zum einen ISO/IEC 27001 (abstrakte Beschreibung eines ISMS) und zum anderen ISO/IEC 27002 (Empfehlungen für eine konkrete Implementierung).
Das in ISO/IEC 27001:2013 beschriebene ISMS kann prinzipiell in jeder Art von Organisation eingesetzt werden, unabhängig von Größe und Sektor. Da das ISMS somit für sehr verschiedene Einsatzszenarien passen muss, schreibt der normative Teil nicht im Einzelnen bestimmte Sicherheitsmaßnahmen vor, sondern beschränkt sich eher auf generelle Anforderungen an die Organisationsstruktur.
ISO/IEC 27002:2013 enthält demgegenüber eine (nicht verbindliche) Liste von 35 Maßnahmenzielen (control objectives) mit dem übergeordneten Zweck des Schutzes der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen im Unternehmen. Zum Erreichen der Maßnahmeziele werden dann auf einer konkreteren Ebende mehr als hundert Maßnahmen (controls) vorgeschlagen.
Die Implementierung des Standards ISO/IEC 27001 ist insbesondere solchen Unternehmen zu empfehlen, die in größerem Umfang personenbezogene Daten verarbeiten. So schafft eine Zertifizierung nach ISO 27001 gegenüber den Betroffen Vertrauen. Zum anderen können Unternehmen, die als Auftragsdatenverarbeiter tätig sind, ihren Auftraggebern die Erfüllung ihrer gesetlichen Prüfpflichten (§ 11 Abs. 2 S. 4 BDSG) durch die Vorlage eines aktuellen ISO/IEC 27001-Zertifikats sehr erleichtern und z.B. eigene Audits durch den Auftraggeber vermeiden. Bei der Prüfung solcher Zertifikate müssen die Auftraggeber allerdings insbesondere darauf zu achten, ob das zertifizierte ISMS auch die relevanten Datenverarbeitungsvorgänge umfasst („ISMS Scope“) und welche Festlegungen das zerzifizierte Unternehmen im Hinblick auf das Risikomanagement grundsätzlich getroffen hat („Statement of Applicability“).