ISO 27001 standardı, kuruluşlarda mevcut olan bilginin gizliliği, bütünlüğü ve erişilebilirliğini risk yönetimi prosesini uygulayarak muhafaza etmeyi amaçlamaktadır.
Her çeşit ve büyüklükteki kuruluş (kamu ve özel sektör, ticari ve ticari olmayan), elektronik, fiziksel ve sözel de olsa çeşitli şekillerde bilgileri toplar, işler, saklar ve iletir.
Ağlar ve insanların doğası gereği açıklıkları olduğundan bu bilgi ve belgeler kasıtlı ve kazayla ortaya çıkan tehditlere maruz kalırlar ve istenmeyen kişi veya kuruşlara aktarımı engellenemez.
Bilgi güvenliği yönetim sistemi uygulayan firmalar, ilgili taraflara bilgilerin güvenli bir şekilde yönetildiğine dair güvence verir
Risk analizi ile işletmede bilgi güvenliği riskleri belirlenerek risklerin ortadan kaldırılması veya zararlarının minimiz edilmesi hedeflenmektedir.
Yönetim sisteminin kuruluşta uygulanması ile proses bazında iç-dış taraflar, bağlamlar, risk ve fırsatların belirlenmesi amaçlanmaktadır
ISO 27001 standardında Planla – Uygula – Kontrol et – Önlem al (PUKÖ) döngüsü ve risk temelli düşünmeyi içeren proses yaklaşımını uygular. Bu uygulamalar ile uygunsuzlukların meydana gelmesini minimize etmek amaçlanmakta ve önleyici faaliyetlere önem verilmektedir.