Conferir segurança à informação significa garantir a confidencialidade (a informação apenas está disponível a quem a ela está autorizado a aceder), integridade (a informação é exacta e completa, e que não é modificada sem autorização) e disponibilidade (está acessível a utilizadores autorizados, quando estes dela necessitam).
No entanto, para lhe conferir a protecção adequada, é necessário ter em conta não só os suportes onde se encontra (bases de dados, registos de actividade, relatórios, contratos, procedimentos, etc), como os recursos que a processam, suportam e armazenam. Especial relevância neste âmbito, assumem as pessoas, atendendo às suas qualificações, competências e experiência.
Neste contexto surge a norma ISO/IEC 27001, através da qual é possível certificar um sistema de gestão de segurança da informação (Information Security Management System - ISMS). É aplicável a qualquer tipo de organização (empresas, organismos do estado, entidades sem fins lucrativos, etc..), e nela são especificados os requisitos para o estabelecimento, implementação, operação, monitorização, revisão, manutenção e melhoria de um sistema documentado de gestão da segurança da informação, no contexto dos riscos de negócio/actividade da organização.
Este é um sistema transversal que aborda as questões da segurança da informação nas suas diversas vertentes como recursos humanos, telecomunicações e infraestruturas, proteção do meio físico, continuidade de negócio, licenciamento, fornecedores, etc.
Com a implementação desta norma, a organização pode demonstrar às partes interessadas o seu compromisso com a segurança da informação e a proteção de dados, minimizar os riscos de fraude, de perda de informação e / ou quebra de confidencialidade.
Sendo uma norma ISO, é reconhecida internacionalmente benefeciando do contributo de peritos de diversas nacionalidades. Esta é uma norma alinhada pelo anexo SL, o que permite a sua integração com as principais normas de sistemas de gestão.