Lo sviluppo delle tecnologie informatiche e delle telecomunicazioni ha modificato in modo radicale le attività economiche e sociali dei paesi più evoluti, con un impatto crescente nelle modalità di interazione tra istituzioni, imprese e cittadini.

La rapidità con cui in atto tale evoluzione induce a parlare dello sviluppo di una "Società dell'Informazione", in cui il bene più scambiato e acquistato rappresentato da informazioni. Ieri, le principali risorse di un'azienda erano rappresentate dal personale, dalle macchine, dagli impianti, dagli equipaggiamenti, dalle disponibilit finanziarie etc.
Oggi, a queste si sono aggiunte altre risorse: tutte le informazioni conservate ed elaborate dall'azienda, che rappresentano risorse essenziali per tutta la sua attività. Le informazioni aziendali sono minacciate da una serie di rischi che, se si concretizzano, possono causare grave danno all'attività aziendale.
Un esempio di questi "nuovi" rischi è rappresentato dall'estensione dell'accesso e della disponibilità dei dati, che comporta nuovi problemi di sicurezza delle informazioni, quali ad esempio l'impossibilità di tenere fisicamente sotto controllo gli apparati con cui le informazioni sono elaborate e conservate.

Per far fronte a questa condizione nascono nuove problematiche connesse all'adeguamento della struttura tecnologica e organizzativa interna delle aziende.
Lo standard ISO/IEC 27001 parte dall'analisi dei rischi specifici di ogni singola organizzazione e fornisce una scelta di strumenti flessibili che l'organizzazione stessa può utilizzare e personalizzare per fronteggiarli nella maniera più efficace.