1.1       استاندارد ISO/IEC 27001

هدف از تهیه این استاندارد بین‌المللی، ارائه مدلی بود تا بر اساس آن بتوان یک سیستم مدیریت امنیت اطلاعات را ایجاد، اجرا، بهره‌برداری، پایش، بازنگری، نگهداری، بهبود و ارتقاء بخشید. از این رو پیاده‌سازی چنین سیستمی باید برای یک سازمان به عنوان یک سیستم استراتژیک تلقی گردد. عواملی همچون نیازهای و اهداف سازمانی، الزامات امنیتی، فرایندهای به کار گرفته‌شده و اندازه و ساختار سازمان بر طراحی و پیاده‌سازی سیستم مدیریت امنیت اطلاعات سازمان تأثیرگذار خواهد بود. از این رو انتظار می رود با استفاده و پیاده‌سازی چنین سیستمی بتوان امنیت شبکه را مورد ارزیابی قرارداد. برای به اجرا درآمدن مؤثر و کارآمد فعالیت‌های یک سازمان باید ضمن تعیین بسیاری از فعالیت‌ها، بر آنها نیز مدیریت صحیحی داشته باشد. در این بین هر نوع فعالیتی که در آن از منابع و ذخایر استفاده می‌گرد و تبدیل ورودی‌ها به خروجی‌ها را امکان‌پذیر می‌سازد و مورد مدیریت قرار می‌گیرد را می‌توان به عنوان یک فرآیند در نظر گرفت. به کاربرد سیستم فرآیندها در یک سازمان و نیز شناسایی و عامل این فرایندها و مدیریت آنها اصطلاحاً «رویکرد فرآیندی» گفته می‌شود. رویکرد فرآیندی در مدیریت امنیت اطلاعات به نحوی که در این استاندارد بین‌المللی آورده شده است، کاربران را متوجه اهمیت اجرای موارد ذیل می‌کند: