Lo sviluppo delle tecnologie informatiche e delle telecomunicazioni ha modificato in modo radicale le attività economiche e sociali dei paesi più evoluti, con un impatto crescente nelle modalità di interazione tra istituzioni, imprese e cittadini.
La rapidità con cui è in atto tale evoluzione induce a parlare dello sviluppo di una vera e propria “Società dell’Informazione”, in cui il bene più scambiato e acquistato è rappresentato da informazioni.
Ieri, le principali risorse di un'azienda erano rappresentate dal personale, dalle macchine, dagli impianti, dagli equipaggiamenti, dalle disponibilità finanziarie etc.
Oggi, a queste si sono aggiunte altre risorse: tutte le informazioni elaborate ed utilizzate dall'azienda, che rappresentano risorse essenziali per tutta la sua attività, e che devono essere correttamente conservate per essere rese integralmente disponibili al momento opportuno, a tutte quelle persone (e solo a quelle!) che sono autorizzate al loro uso.
Le informazioni aziendali sono minacciate da una serie innumerevole di rischi che, se si dovessero concretizzare, potrebbero causare grave danno all’attività aziendale.
In questo contesto nascono nuove problematiche connesse sia ad aspetti culturali / comportamentali sia di adeguamento della struttura tecnologica e organizzativa interna delle aziende.
La norma ISO/IEC 27001 parte dall’analisi dei rischi specifici di ogni singola organizzazione e fornisce una scelta di strumenti flessibili che l’organizzazione stessa può utilizzare e personalizzare per farvi fronte nella maniera più efficace.
Mentre la norma ISO/IEC 20000 - IT Service Management, aiuta le Organizzazioni a misurare i livelli del servizio erogato come fornitore di servizi informatici, destinati sia a clienti interni che esterni,  valutando prestazioni e competenze.