ISO/IEC 27001:2005 Bilgi Güvenliği Yönetimi için uygulama kodu, kuruluşların bilgi güvenliği yönetim sistemini kurmaları, uygulamaları, sürdürmeleri ve iyileştirmeleri için hazırlanmış bir kılavuzdur. Tüm kuruluş genelinde kabul edilmiş hedeflere ulaşmada yol gösterici bir rol oynar. ISO/IEC 27001:2005 aşağıdaki bilgi güvenliği kontrolleri ile ilgili en iyi uygulamaları içerir.

• Güvenlik politikası – Bilgi güvenliği için yönetim yönlendirmesi ve desteği sağlar.
• Bilgi güvenliği organizasyonu – Kuruluş dahilindeki bilgi güvenliğini yönetmenize yardım etmek içindir.
• Varlık yönetimi – Varlıklarınızı tanımlamanıza ve bunları uygun şekilde korumanıza yardım etmek içindir.
• Personel güvenliği – İnsan hatası, hırsızlık, sahtekarlık veya tesislerin yanlış kullanım riskini azaltmak içindir.
• Fiziksel ve çevresel güvenlik – İşletme alanlarına ve bilgilere yetkisiz erişimleri, hasarı ve müdahaleyi önlemek içindir.
• İletişim ve faaliyetlerin yönetimi – Bilgi işleme tesislerinin düzgün ve güvenli çalışmasını sağlamak içindir.
• Erişim kontrolü – Bilgiye erişimi kontrol etmek içindir.
• Sistemlerin geliştirilmesi ve muhafazası – Bilgi sistemlerine güvenliğin tesis edildiğinden emin olmak içindir.
• Bilgi güvenliği kazalarının yönetimi – Yaşanan problemlerden, arızalardan, kazalardan ders çıkarmak ve tekrarını önlemek içindir.
• İş sürekliliği yönetimi – Ticari faaliyetlerin maruz kalacağı kesintileri ortadan kaldırmak ve kritik işletme faaliyetlerini/süreçlerini büyük arıza veya afetlerin etkilerinden korumak içindir.
• Uyum – Suçtan kaçınılması, herhangi bir cezai veya medeni kanunun, yasal, tüzüksel veya sözleşmesel yükümlülüklerin ve güvenlik gerekliliklerinin ihlalini önlemek içindir.

ISO/IEC 27001:2005,(önceki BS 7799-2:2002), bir Bilgi Güvenliği Yönetim Sistemi için gereklilikleri ortaya koyan bir standarttır. Bilgilerin düzenli olarak maruz kaldığı bir takım tehditlerin tanımlanmasına, yönetilmesine ve bunların minimize edilmesine yardımcı olur. Bu standart, müşterilerinize ve diğer taraflara, uygun güvenlik kontrollerinin seçildiğini ve bilgi varlıklarınızın güven altında olduğunu göstermeniz için tasarlanmıştır.

Bu standart farklı yapı ve sektördeki bir çok kuruluş için aşağıdakileri içerir;

• Güvenlik gerekliliklerini ve amaçları belirlemek
• Güvenlik risklerinin ekonomik olarak yönetildiğine emin olmak
• Yasal gerekliliklere uygunluktan emin olmak
• Bilgi güvenliği altyapınızın içerdiği uygulamaların ve kontrollerin, kuruluşun amaçladığı güvenlik seviyesi ile uyuştuğunu göstermek
• Mevcut bilgi güvenliği yönetim süreçlerini belirlemek va açıklamak
• Yönetim tarafından, bilgi güvenliği yönetimi faaliyetlerinin durumunu belirlemek
• İç ve dış tetkikçiler tarafından, kuruluşun, politikalara, prosedürlere ve standartlara uygunluğunu değerlendirmek
• Ticari ortaklarınıza, bilgi güvenliği politikalarınız, prosedürleriniz ve standartlarınız hakkında bilgi sağlamak
• Müşterilerinize, bilgi güvenliğiniz hakkında bilgi sağlamak

ISO/IEC 27001:2005 kullanan bir kuruluş, kendi BGYS’i için bir dayanak olarak, BSI aracılığı ile belgelendirmesini yaptırabilir, böylece BGYS’in standardın gerekliliklerini yerine getirdiği kanıtlanmış olur.

Bilgi Güvenliği Yönetim Sistemi ISO 27001’in sağladığı yararlar şunlardır :

• Müşterileriniz, onların bilgilerini güvende tutacağınız konusundaki taahhüdünüzden dolayı güven hissederler.
• İş devamlılığını sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilginin birçok tehlikeye karşı korunmasını sağlar.
• Kuruluşun kurumsal değerlerini, yatırımlarını ve hedeflerini sürdürebilip, koruyabilmesi için ortaya konması gereken kontrollerin firma içinde yerleştirilmesi ve uygulanması yolunda temel teşkil eder.
• Rakiplerinizin bir adım önüne geçmenizi sağlar.
• Uluslararası ihalelere katılımda şart olan ISO/IEC 27001:2005 gereklerinin sağlanmış olur.
• Tek bir bilgi güvenlik ihlalinin çıkaracağı masraf çok büyük olabilir. Belgelendirme işlemi maruz kalacağınız bu tür masrafları azaltır ve bu da iş dalınızdaki yatırımcılar ve müşteriler için önemlidir.
• Bilgi güvenliğiniz ile ilgili sigorta primlerinizde düşüş sağlar.
• İlgili geçerli tüm kanun ve tüzüklere uygunluğunuzu yetkili makamlara kanıtlamanıza yardımcı olur.
• Standardın bu maddesi diğer standart ve yasalarla uyumludur. (örneğin, US HIPAA, the Privacy Act of 1974, the Computer Security Act of 1987, the National Infrastructure Act of 1996, the Gramm-Leach-Bliley Act of 1999, the Government Information Security Reform Act of 2001).
• Organizasyonun tüm aşamalarında taahhüt/bağlılığın sağlanması ve kanıtlanmasında yardımcı olur.
• Kuruluş genelinde, bilgi sistemleri ve zayıflıklarının nasıl korunacağı konusundaki farkındalık artar.
• Donanım ve veriye daha güvenilir erişim sağlanır.
• Çalışanların kuruluş içerisindeki sorumlulukları ve bilgi güvenliği konularındaki bilinçlerinin artmasını sağlar.
• Düzenli olarak gerçekleştirilen denetimler  sisteminizin etkinliğini izlemenize ve iyileştirmenize yardımcı olur.
• Gizlilik sağlanır.
• Bilginin sadece yetkili kişiler tarafından erişilebilir olması sağlanır.
• Bütünlük sağlanır.
• Bilginin ve işlem metotlarının doğruluğunun ve bütünlüğünün korunması, içeriğinin değişmemesi sağlanır.
• Bilgiye ulaşılabilirlik, elde edilebilirliği sağlanır.
• Başarılı bir e-ticaretin gerekli olan işlevsellik, güvenlik, güvenilirlik ve veri koruması konusunda gereklilikleri sağlar.