La información es un activo vital de toda empresa u organización. Es necesario proteger la información para minimizar los riesgos a los que está expuesta.
La mayoría de las organizaciones basan la gestión de su información en la compra de productos técnicos y no invierten en desarrollar políticas y estructuras funcionales. Es necesario que las organizaciones identifiquen sus riesgos de seguridad de la información y los costes derivados de su falta de control, con el objetivo de implantar salvaguardas ajustadas a esos riesgos. Para ello es necesario implantar procesos estructurados de Gestión de la Seguridad, lo que conocemos como Sistemas de Gestión de Seguridad de la Información (SGSI).
El estándar ISO/IEC 27001 es el modelo de referencia para el establecimiento, implementación, operación, monitorización, revisión y mejora de un Sistema de Gestión de la Seguridad de la Información (SGSI) para cualquier organización. Además es una norma certificable por entidades de certificación como AENOR, APPLUS, OCA, SGS, TÜV, etc.