Bağımsız belgelendirme kuruluşlarının yaptıkları denetim sonucu düzenledikleri ve kurumdaki bilgilerin güvenliklerinin sağlanmasına yönelik sistematik bir uygulamanın olduğunun kanıtını sağlamak üzere, “kurum” adına düzenlenen sertifikaya veya belgeye ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi veya ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası denir.
Büyüklüğü ne olursa olsun, ihtiyaç duyan tüm kurumlar ve kuruluşlar bilgilerinin gizlilik, bütünlük ve erişebilirliklerini sağlamak amacı ile kurdukları bilgi güvenliği yönetim sistemini belgelendirmek isteyebilirler.
ISO 27001 belgesi için kurum ve kuruluşların öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kurmaları ve uygulamaları gerekmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kuran firmaların, uluslararası boyutta tanınan ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi hususunda akredite olmuş kuruluşlardan denetim yaptırması ve bu denetimlerden başarı ile geçmesi gerekmektedir. Akreditasyonsuz olarak verilen ISO 27001 belgesinin hiçbir geçerliliği yoktur.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak ve belgelendirmek bir firmaya, şirkete veya kuruluşa Bilgi Güvenliği kavramının temel ilkelerini sağlamaktadır.
Bilgi Güvenliği kavramının temel ilkelerini kısaca G-B-U (C-I-A) kısaltması ile gösterebiliriz: