ISO27001は、情報セキュリティに関するPDCAサイクルを回し、セキュリティシステムの継続的な改善を進めるための規格です。「ISMS(Information Security Management System)」と呼ばれています。
　この規格には、巻末に「詳細管理策」という付属書があり、ここに133項目のセキュリティ管理項目が記載されています。
　組織は、この詳細管理策から、自社にとって適切な管理方法を選択し、セキュリティ対策を行うことができます。

　情報セキュリティを行う上で重要なことは「CIA」のバランスです。「C」は機密性（Confidentiality）、「I」は完全性（Integrity）、「A」は可用性（Availability）を示し、情報セキュリティの３大要素とも呼ばれています。
　「情報セキュリティ」では、機密性（権限を持つ人のみが情報にアクセスできる）や完全性（情報が改ざんされない）の確保を重視します。
　しかし、可用性（権限を持つ人が必要なときに情報を得ることができる）の観点を考慮しないと非常に使いにくいシステムになってしまいます。

　近年、情報の「迅速性」「共有性」という様々な恩恵を受けることができるようになりました。しかし、一方で企業は、情報漏洩や改竄、情報の消失といった情報リスクにさらされるようになってきました。
　情報技術の進歩は著しく、その場しのぎの処置では、十分なセキュリティ対策が出来なくなっています。情報は、マネジメントの観点から管理しなければならなくなりました。
　情報保護のためには、ISO 27001に基づく情報セキュリティマネジメントシステム（ISMS）を導入し、情報セキュリティ対策を実施することが不可欠となっています。

　ISMS構築では、プライバシーマークと同様、情報漏洩の発生する人的側面が重要になってきます。なぜなら、情報の漏洩は、恣意的・人為的な要素が原因となっているからです。もとより、技術面のセキュリティ対策は重要ですが、情報はヒトが漏洩させるものであるという観点を忘れることはできません。

　中堅・中小企業において、準備期間を12ヵ月とすると、認証取得までのスケジュールは、次のようになります。