信息安全在企业风险管理中极为重要，强调对一个组织运行所必需的IT系统和信息的保密性、完整性、可用性的保护，提高投资回报率，降低由信息安全事故造成的损失及业务中断的风险。“ISO/IEC 27001：信息技术安全管理”，由国际标准化组织于2005年10月正式颁布的标准。ISO/IEC 27001:2005 标准为所有行业的机构都提供了一套业务工具，协助其避免信息保安的失误，从而降低了相应的风险。正式推行ISO/IEC27001:2005 并取得有关认证的机构将受益匪浅。

ISO27001体系自国际标准化组织颁布为国际标准ISO 27001:2005，成为“信息安全管理”之国际通用语言，ISO27001已被全球一万八千多家政府机构和知名企业所采用。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求，有效降低企业面临的风险。建立信息安全管理体系（ISMS）已成为各种组织，特别是高科技产业、金融机构等管理运营风险不可缺少的重要机制。在某些行业，如软件外包，ISO27001认证已经成为客户要求必备条件。

ISO27001最新版是第三版（ISO/IEC27001:2022）于2022年10月25日正式发布。

关于 ISO27001 的几项认证：

APMG的ISO27001认证，有三个不同的级别，分别是：Foundation（基础）、Practitioner（从业）以及Audtior（审计），通过考试即可获得ISO/IEC 27001的个人认证。（原ISO27001 LA（主任审计师）认证已取消）

ISO27001 Foundation是学习信息安全管理系统（ISMS）的最佳入门认证，通过Foundation，学员可以学到ISO27001标准在组织中如何运作的基础知识。

ISO27001 Practitioner是信息安全管理的从业级认证，通过学习应用ISO27001标准来实现信息的安全管理。

ISO27001 Audtior专为培养ISO27001标准的审计人员所设计，注重信息安全管理体系的审计的内容。ISO 27001 审核员内容偏重于对 ISO27001 标准的管理，以及如何针对标准条款进行审计，以及审计过程方法与技巧，类似于信息安全管理体系建设过程中“裁判员”。