ISO/IEC 27001
Information security management
เป็นมาตรฐานที่มีวัตถุประสงค์เพื่อให้การดำเนินธุรกิจเป็นไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆ ถูกกำหนดขึ้นโดยองค์กรสากล ISO และ IEC (International Electro technical Commission)การประยุกต์ใช้ ISO 27001 จะช่วยให้กิจกรรมทางธุรกิจสามารถดำเนินไปได้อย่างต่อเนื่อง ช่วยป้องกันระบบข้อมูล และสารสนเทศขององค์กรจากความเสี่ยงต่อภัยคุกคามต่างๆ สำหรับทุกประเภท Electro technologies ทั้ง ISO และ IEC ได้รับการสนับสนุน โดยองค์กรสมาชิกระดับชาติ
ISO/IEC 27001 เป็นมาตรฐานเกี่ยวกับระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ ซึ่งมีวัตถุประสงค์เพื่อช่วยให้องค์กรสามารถสร้างระบบบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศขึ้นมาได้อย่างมีประสิทธิภาพ มาตรฐานนี้สามารถนำมาใช้กับทุกๆ องค์กรที่เกี่ยวข้องกับความมั่นคงปลอดภัย ไม่ว่าจะเป็นองค์กรขนาดเล็กหรือขนาดใหญ่ก็ตามเป็นส่วนหนึ่งในระบบบริหารจัดการองค์กร ซึ่งมีพื้นฐานจากแนวทางการจัดการความเสี่ยงของธุรกิจ มีวัตถุประสงค์เพื่อรักษาความลับ(Confidentiality) ความถูกต้อง(Integrity) และความพร้อมใช้งาน(Availability) ของข้อมูลสารสนเทศ รวมทั้งทรัพย์ สินอื่นๆ ที่มีความสำคัญ โดยการดำเนินการนำมาใช้ ตรวจสอบ วัดผล ทบทวน บำรุงรักษา และปรับปรุงระบบบริหารความมั่นคงปลอดภัย เพื่อให้องค์กรรอดพ้นจากภัยคุกคามต่างๆ โดยใช้หลัก Plan-Do-Check Act
มาตรฐานยังถูกออกแบบมาสำหรับการตรวจประเมิน (Certification) หากองค์กรใดได้จัดทำระบบตามข้อกำหนดของมาตรฐานครบถ้วนแล้ว องค์กรสามารถยื่นคำขอไปยังหน่วยงานรับตรวจประเมินระบบ (Certification Body) เพื่อให้เข้ามาดำเนินการตรวจประเมินและรับรองระบบได้ ทั้งนี้ความซับซ้อนของระบบบริหารความมั่นคงปลอดภัยของสารสนเทศแต่ละองค์กร อาจจะมีการพัฒนาที่แตกต่างกันไป ขึ้นอยู่กับขนาด โครงสร้าง วัตถุประสงค์ ความต้องการเกี่ยวกับความมั่นคงปลอดภัย รวมไปถึงกระบวนการทางธุรกิจขององค์กรนั้น ๆ
ในปัจจุบันหลายองค์กรกำลังประสบกับความหลากหลายของภัยคุกคามความปลอดภัยในหลายรูปแบบ รวมถึงความผิดพลาดล้มเหลวที่เกิดการกระทำของมนุษย์ และอุปกรณ์เพื่อการลักขโมย ฉ้อโกง ไฟไหม้ น้ำท่วม หรือแม้กระทั่งการก่อการร้าย การก่อวินาศกรรม เนื่องจากส่วนใหญ่องค์กรสมัยใหม่จะมีระบบที่ซับซ้อนเชื่อมโยงข้อมูลกัน ในโลกเทคโนโลยีสารสนเทศ ยังคงเป็นความเสี่ยงต่อการถูกคุกคามและการโจมตีสูง จากแฮกเกอร์คอมพิวเตอร์ But why should information assets need to be protected? Information เนื่องจากข้อมูลสามารถอยู่ในหลายรูปแบบ
ISO/IEC 27001 มีแนวทางสำหรับการจัดการความปลอดภัยของข้อมูลที่ดีเยี่ยม นำเสนอหลักการในการปฏิบัติเพื่อความปลอดภัยในข้อมูลของบริษัทและข้อมูลของลูกค้า ที่มุ่งเน้นวิธีการลดความเสี่ยงต่อการถูกคุกคามในทุกรูปแบบ และยังมีประสิทธิภาพในการตรวจสอบระบบการรักษาความปลอดภัยในข้อมูลอย่างเป็นขั้นตอนในทุกกระบวนการดำเนินการอย่างมีประสิทธิภาพ