ISO 27001

องค์กรต่างๆได้ก้าวเข้าสู่ยุคที่ธุรกิจต่างๆขององค์กรต้องอาศัย เทคโนโลยีสารสนเทศเป็นเครื่องมือหลักในการดำเนินการ ความสำคัญอันหนึ่งที่ทุกองค์กรต้องตระหนักถึง คือ ความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ซึ่งหากไม่มีการจัดการเรื่องความมั่นคงปลอดภัย ของระบบสารสนเทศที่เพียงพอ ก็อาจเป็นสาเหตุที่ทำให้ธุรกิจขององค์กรมีความเสี่ยงเกิดขึ้นได้

มาตรฐาน ISO27001:2005 เป็นมาตรฐานเกี่ยวกับระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ ซึ่งจะกำหนดความต้องการเกี่ยวกับการจัดทำระบบให้มีความมั่นคงปลอดภัย ซึ่งมีวัตถุประสงค์เพื่อช่วยให้องค์กรสามารถสร้างระบบบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศขึ้นมาได้อย่างมีประสิทธิภาพ ทั้งนี้มาตรฐานดังกล่าวสามารถนำมาใช้ได้กับทุกๆ ประเภทขององค์กรที่เกี่ยวข้องกับความมั่นคงปลอดภัย ไม่ว่าจะเป็นองค์กรขนาดใหญ่หรือขนาดย่อมก็ตาม

ระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ เป็นส่วนหนึ่งในระบบบริหารจัดการขององค์กร ซึ่งมีพื้นฐานมาจากแนวทางการจัดการความเสี่ยงของธุรกิจ (Business Risk Approach) มีวัตถุประสงค์เพื่อรักษาไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลสารสนเทศ(Information) รวมทั้งทรัพย์สินอื่นๆ ที่มีความสำคัญขององค์กร ในอันที่จะสร้าง ดำเนินการ นำมาใช้ ตรวจสอบ วัดผล ทบทวน บำรุงรักษา และปรับปรุงระบบบริหารความมั่นคงปลอดภัย เพื่อให้องค์กรรอดพ้นจากภัยคุกคามต่างๆ โดยใช้หลัก Plan-Do-Check-Act (PDCA Model)