ISO/IEC 27001 najpoznatija je međunarodna norma koja pruža detaljne smjernice o upravljanju informacijskom sigurnošću u organizacijama. Vrlo često u svakodnevnom govoru koristi se i skraćeni naziv ISO 27001. U izradi norme sudjelovali su najveći svjetski stručnjaci u informacijskoj sigurnosti. Objavila ga je Međunarodna organizacija za standardizaciju (ISO) i Međunarodna elektrotehnička komisija (IEC) u sklopu zajedničkog projekta. Prva verzija objavljena je 2005. godine ISO/IEC 27001:2005, a trenutno aktualna inačica objavljena je 2013. godine i stoga nosi naziv ISO/IEC 27001:2013.

Norma je podijeljena u 10 poglavlja i uz nju dolazi Aneks A koji se sastoji od 114 kontrola podijeljenih u 35 kategorija i 14 poglavlja. Od spomenutih 10 poglavlja norme, prva 3 poglavlja su uvodna i nisu obvezna za primjenu, dok su ostala poglavlja sa zahtjevima obvezna i moraju se primijeniti da bi organizacija bila usklađena s normom. Sigurnosne kontrole iz Aneksa A moraju biti uspostavljene ako su primjenjive za organizaciju i njezine poslovne procese.

Slijedi popis poglavlja u ISO/IEC 27001:2013 normi.

1. Opseg
2. Normativne reference
3. Pojmovi i definicije
4. Kontekst organizacije
4.1 Razumijevanje organizacije i njezinog konteksta
4.2 Razumijevanje potreba i očekivanja zainteresiranih strana
4.3 Utvrđivanje opsega sustava upravljanja informacijskom sigurnošću
4.4 Sustav upravljanja informacijskom sigurnošću
5. Rukovođenje
5.1 Vodstvo i predanost
5.2 Politika
5.3 Organizacijske uloge, odgovornosti i ovlasti
6. Planiranje
6.1 Radnje za rješavanje rizika i prilika
6.1.1 Općenito
6.1.2 Procjena rizika informacijske sigurnosti
6.1.3 Obrada rizika informacijske sigurnosti
6.2 Ciljevi informacijske sigurnosti i planiranje njihovog postizanja
7. Podrška
7.1 Resursi
7.2 Kompetencije
7.3 Informiranost
7.4 Komunikacija
7.5 Dokumentirane informacije
7.5.1 Općenito
7.5.2 Izrada i ažuriranje
7.5.3 Kontrola dokumentiranih informacija
8. Djelovanje
8.1 Operativno planiranje i kontrola
8.2 Procjena rizika informacijske sigurnosti
8.3 Obrada rizika informacijske sigurnosti
9. Ocjena učinka
9.1 Nadzor, mjerenje, analiza i ocjena
9.2 Unutarnja revizija
9.3 Pregled menadžmenta
10. Poboljšanje
10.1 Nesukladnost i korektivne mjere
10.2 Kontinuirano poboljšanje

Vanjska poveznica: https://www.iso.org/isoiec-27001-information-security.html