SZBI jest częścią ogólnego systemu zarządzania, oparta na podejściu wynikającym z oceny ryzyka, odnosząca się do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymywania i doskonalenia bezpieczeństwa informacji.
Norma ISO/IEC 27001 została opracowana w celu przedstawienia modelu systemu zarządzania bezpieczeństwem informacji. Przedstawione są w niej wytyczne dotyczące wdrożenia zabezpieczeń chroniących informacje w organizacji. Bezpieczeństwo informacji oznacza, że informacja jest chroniona przed różnymi zagrożeniami w taki sposób aby zapełnić:
- Poufność
- Integralność
- Dostępność
Wdrożenie wymagań ww. normy wiąże się z określeniem polityki systemu zarządzania bezpieczeństwem informacji, niezbędnych procedur, oszacowaniem ryzyka, zidentyfikowaniem, oceną postępowania z ryzykami, wybranie celów stosowania zabezpieczeń i przygotowanie deklaracji stosowania. W celu wdrożenia systemu należy opracować i wdrożyć plan postępowania z ryzykiem oraz wdrożyć wybrane zabezpieczenia. Norma znajduje zastosowanie we wszystkich rodzajach organizacji.
Korzyści wynikające z systemu zarządzania bezpieczeństwem informacji:
- Uregulowanie procesów zachodzących w organizacji dotyczących informacji i danych osobowych.
- Kontrola nad przepływem informacji i danych osobowych w organizacji.
- Zwiększenie zaufania do organizacji.
- Podniesienie wiarygodność organizacji w oczach klientów, petentów.