Lo Standard 27001:2013 (Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti) è una norma internazionale che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

L'impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2015 ed il Risk management, basandosi sull'approccio per processi, strutturato in politica per la sicurezza delle informazioni, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive, sorveglianza, nell'ottica del miglioramento continuo.

Nella fase di progettazione richiede però lo svolgimento di un risk assessment, schematizzabile in:

1.   Identificazione dei rischi;
2. Analisi e valutazione;
3. Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi;
4. Assunzione del rischio residuo da parte del management;

Definizione dello Statement of Applicability.

La Direzione dell'organizzazione (Titolare, Amministratore, Presidente C.d.A) deve attuare un Sistema di Gestione per la Sicurezza delle Informazioni con la finalità di ridurre/eliminare i rischi di perdita delle informazioni per furti di dati, perdita delle registrazioni, alterazione delle informazioni ed ottenere il pieno soddisfacimento delle parti interessate (autorità, clienti, titolare dei dati gestiti) e tutelare l'azienda dalle conseguenze giuridiche che ne potrebbero derivare: richieste di risarcimento.

Le attività da pianificare ed attuare con il proprio gruppo di lavoro sono: