Obecnie wiedza jest dobrem niezwykle ważnym, więc powinna być odpowiednio strzeżona. Standard ISO/IEC 27001:2005 stanowi bazę certyfikacji Systemów Zarządzania Bezpieczeństwem Informacji. Certyfikat ISO 27001 bazuje na procedurze procesowym, używa algorytmu planuj – wykonuj – sprawdzaj – działaj (PDCA - cykl Deminga), który jest stosowany dla całej systemu procesów SZBI, a także w dalszych certyfikatach z typu ISO. ISO 27001 składa się z części głównej i załączników. Część zasadnicza standardu określa wymagania dotyczące: - Wyznaczeniem oraz zarządzaniem systemem bezpieczeństwa informacji (SZBI) - Wymaganą dokumentacją, - Zaangażowaniem dyrekcji, - Wewnętrznymi audytami SZBI, przeglądami SZBI - Trwałym optymalizacją SZBI. Wszystkie te wymagania muszą być zaspokojone. Bazą operowania systemu jest sprecyzowanie procedury oraz wykonanie analizy niebezpieczeństwa. Norma wymaga zanalizowania i włączenia do SZBI kolejnych 11 sfer operowania organizacji: - Polityki bezpieczeństwa - Zorganizowania bezpieczeństwa danych - Zarządzania aktywami - Zabezpieczenia zasobów ludzkich - Zabezpieczenia fizycznego i środowiskowego - Administrowania systemami i sieciami - Kontroli dostępu - Pozyskiwania, rozwoju oraz utrzymania systemów informatycznych - Zarządzania incydentami związanymi z zabezpieczeniem danych - Zarządzania ciągłością działania - Kompatybilność z wymaganiami prawnymi. W konsekwencji tej analizy przedsiębiorstwo formułuje wartość indywidualnych aktywów oraz dobiera odpowiedni poziom bezpieczeństwa. W ten sposób optymalnie wykorzystuje posiadane zasoby. Początkowymi a zarazem decydującymi pizzy krokami w kierunku ustalenia SZBI są: - Zdefiniowanie rozciągłości certyfikacji ISMS - Rozpoznanie zagrożeń - Analiza ryzyka - Procedura administracji ryzykiem - Stworzenie oświadczenia stosowania (SOA – Statement of Applicability) - Ustanowienie schematów oraz wytycznych ISMS. Następnym fazą jest nadzorowanie / kontrola systemu, poprzez: - Cykliczne audyty / inspekcje - Automatyczne detekcję błędów - Sięganie z doświadczeń pozostałych - Wewnętrzny audit ISMS - Kontrola zarządzania - Audyt zewnętrzny (zrealizowany przez jednostkę wydającą certyfikaty). Jako rezultat ww działań firma uzyskuje dane o nieprawidłowościach i innych wadach funkcjonującego systemu. W związku z powyższym wdraża poczynania, które naprawią zaistniałe uchybienia oraz umożliwią na uniknięcie ich w na przyszłość. Do operacji tych kwalifikują się: - Starania naprawcze - Starania zapobiegawcze - Ciągłe ulepszanie. Posiadanie certyfikowanego systemu administrowania bezpieczeństwem informacji zgodnego z normą ISO 27001:2005 wiąże się nie tylko z prestiżem i wyróżnieniem firmy wśród innych na rynku, lecz również z różnymi mierzalnymi profitami, takimi jak: - Zabezpieczenie danych - Zdobycie ufności kontrahentów oraz pozostałych klientów - Podniesienie niezawodności - Ochrona miejsc zatrudnienia - Większa przejrzystość procesów, spowodowana faktem implementacji do organizacji ustalonych procedur - Obniżenie do minimum konsekwencji możliwego naruszenia bezpieczeństwa danych - Zapewnienie ciągłości działania przedsiębiorstwa w sytuacjach kryzysowych - Bezpieczeństwo prawne, wynikające z faktu stosowania się do formalnych wymogów.