La certification ISO 27001 propose des directives sur la mise en place d'un SMSI qui fait partie de la famille des normes de management ISO 27000. Ces normes fournissent des recommandations sur les meilleures pratiques en matière de gestion de la sécurité de l'information, incluant des aspects tels que l'évaluation des risques avec l'ISO 27005.
Un SMSI implique l'instauration d'une gouvernance de la sécurité du Système d'Information à travers des processus en amélioration continue. Il assure la robustesse, l'efficacité et la résilience du Système d'Information face aux événements internes et externes pouvant impacter l'activité de l'entreprise.
La certification ISO 27001 permet à une organisation de faire valider ses bonnes pratiques en la matière par un tiers reconnu, et de communiquer ces pratiques à toutes ses parties prenantes, en particulier ses clients et prospects.
Le système d'information d'une entreprise englobe un ensemble d'activités métiers reposant sur des processus et des équipements physiques et logiques tels que les applications, l'infrastructure, les locaux et le mobilier. Ces éléments sont classifiés en fonction de leur importance en termes de disponibilité, d'intégrité et de confidentialité, afin de quantifier et/ou qualifier les risques et de protéger les actifs essentiels de l'entreprise.