ISO/IEC 27001 är den internationella standarden för ett ledningssystem för informationssäkerhet (ISMS). Standarden specificerar krav på att etablera, implementera, underhålla och kontinuerligt förbättra informationssäkerheten i en organisation. ISO 27001 är certifierbar, vilket innebär att ett ackrediterat tredjepartsorgan kan utfärda ett formellt certifikat efter granskning.
Den senaste versionen är ISO 27001:2022, som ersatte 2013-versionen. Huvudändringen är en omstrukturering av Annex A från 114 till 93 kontroller, grupperade i fyra teman: organisatoriska, människor, fysiska och teknologiska. Befintliga certifierade organisationer hade fram till oktober 2025 att övergå till 2022-versionen.
ISO 27001 är inte enbart en teknisk standard – kärnan är ett managementsystem som kräver att ledningen tar ansvar, att risker bedöms systematiskt och att förbättringar drivs cykliskt (Plan-Do-Check-Act). Annex A-kontrollerna är verktyg för att behandla identifierade risker; vilka kontroller som tillämpas dokumenteras i ett Statement of Applicability (SoA).