ISO (the International Organization for Standarization) dan IEC (International Electrotechnical Commision) merupakan sistem yang terspesialisasi untuk standarisasi di seluruh dunia. Badan nasional yang merupakan anggota ISO dan IEC berpartisipasi dalam pengembangan standar internasional melalui komite teknikal yang didirikan oleh organisasi yang bersangkutan untuk berhubungan dengan bidang tertentu di area aktivitas teknikal. Komite teknikal ISO dan IEC berkolaborasi dalam bidang yang memiliki kesamaan kepentingan/minat. Organisasi-organisasi internasional, baik yang merupakan lembaga pemerintah maupun non-pemerintah lainnya, dalam hubungannya dengan ISO dan IEC, juga mengambil bagian dalam kerja membangun sistem standardisasi dunia tersebut. Dalam bidang teknologi informasi, ISO dan IEC telah mendirikan komite teknis bersama ISO/IEC JTC 1 [20].
Standard internasional ini disiapkan untuk memberikan persyaratan untuk pendirian, pengimplementasian, pemiliharaan, dan perbaikan yang terus menerus pada sistem manajemen keamanan informasi.Pengadopsian sistem manajemen keamanan informasi merupakan sebuah keputusan strategis bagi suatu organisasi. Pembentukan dan pengimplementasian sistem manajemen keamanan informasi sebuah organisasi dipengaruhi oleh kebutuhan dan tujuan organisasi, persyaratan keamanan, proses organisasional yang digunakan, dan struktur dan ukuran organisasi. Semua hal tersebut merupakan faktor yang mempengaruhi dan diharapkan berubah sepanjang waktu.
Sistem manajemen keamanan informasi menjaga kerahasiaan, integritas dan ketersediaan informasi dengan penerapan suatu proses manajemen risiko dan memberikan keyakinan kepada pihak yang memerlukannya bahwa semua risiko ditangani dengan baik. Sistem manajemen keamanan informasi merupakan bagian dari dan terintegrasi dengan proses-proses organisasi dan keseluruhan struktur manajemen dan keamanan informasi dipertimbangkan dalam proses-proses disain, sistem informasi, dan pengendalian. Diharapkan bahwa implementasi sistem manajemen keamanan informasi akan disesuaikan sejalan dengan kebutuhan organisasi. Standar internasional ini dapat digunakan oleh pihak internal dan eksternal untuk menguji kemampuan organisasi dalam memenuhi persyaratan keamanan informasi yang ditetapkan oleh organisasi tersebut.

Keluarga ISO/IEC 27K
Keluarga Standar Sistem Manajemen Keamanan Informasi merupakan bagian yang saling terkait.

1. ISO/IEC 27000:2014 - provides an overview/introduction to the ISO27k standards plus a glossary for the specialist vocabulary.
   
2. ISO/IEC 27001:2013 is the Information Security Management System (ISMS) requirements standard, a formal specification for an ISMS. Status update Oct 7
   
3. ISO/IEC 27002:2013 is the code of practice for information security controls describing good practice information security control objectives and controls. Status update Oct 7
   
4. ISO/IEC 27003:2010 provides guidance on implementing ISO/IEC 27001.
   
5. ISO/IEC 27004:2009 covers information security management measurement .
   
6. ISO/IEC 27005:2011 covers information security risk management.
   
7. ISO/IEC 27006:2011 is a guide to the certification or registration process for accredited ISMS certification or registration bodies.
   
8. ISO/IEC 27007:2011 is a guide to auditing Information Security Management Systems.
   
9. ISO/IEC TR 27008:2011 concerns the auditing of ‘technical’ security controls.
   
10. ISO/IEC 27009 will advise those producing standards for sector-specific applications of ISO27k.
    
11. ISO/IEC 27010:2012 provides guidance on information security management for inter-sector and inter-organisational communications.
    
12. ISO/IEC 27011:2008 is the information security management guideline for telecommunications organizations (dual-numbered as ITU X.1051).
    
13. ISO/IEC 27013:2012 provides guidance on the integrated/joint implementation of both ISO/IEC 27001 (ISMS) and ISO/IEC 20000-1 (service management/ITIL).
    
14. ISO/IEC 27014:2013 offers guidance on the governance of information security.
    
15. ISO/IEC TR 27015:2012 provides information security management guidelines for financial services.
    
16. ISO/IEC TR 27016:2014 covers the economics of information security management.
    
17. ISO/IEC 27017 will cover information security controls for cloud computing. Status update Oct 7
    
18. ISO/IEC 27018 covers PII (Personally Identifiable Information) in public clouds.
    
19. ISO/IEC TR 27019:2013 covers information security for process control in the energy industry.
    
20. ISO/IEC 27021 is proposed to explain the competencies and knowledge required by information security management professionals.
    
21. ISO/IEC TR 27023 will map between the 2005 and 2013 versions of 27001 and 27002.
    
22. ISO/IEC 27031:2011 is an ICT-focused standard on business continuity.
    
23. ISO/IEC 27032:2012 covers cybersecurity.
    
24. ISO/IEC 27033:2009+ is replacing the multi-part ISO/IEC 18028 standard on IT network security (parts 1, 2, 3, 4 & 5 are published, part 6 is in preparation).
    
25. ISO/IEC 27034:2011+ is providing guidelines for application security (part 1 was released in 2011 and corrected in 2014, the others are in preparation).
    
26. ISO/IEC 27035:2011 on information security incident management.
    
27. ISO/IEC 27036:2013+ is a multi-part security guideline for supplier relationships including the relationship management aspects of cloud computing (parts 1, 2 and 3 have been published so far).
    
28. ISO/IEC 27037:2012 covers identifying, gathering and preserving digital evidence.
    
29. ISO/IEC 27038:2014 is a specification for digital redaction.
    
30. ISO/IEC 27039 will concern intrusion detection and prevention systems.
    
31. ISO/IEC 27040 will offer guidance on storage security.
    
32. ISO/IEC 27041 will offer guidance on assurance for digital evidence investigation methods.
    
33. ISO/IEC 27042 will offer guidance on analysis and interpretation of digital evidence.
    
34. ISO/IEC 27043 will offer guidance on digital evidence investigation principles and processes.
    
35. ISO/IEC 27044 will offer guidance on SIEM (Security Incident and Event Management).
    
36. ISO/IEC 27050 will offer guidance on electronic discovery.
    
37. ISO 27799:2008 provides health sector specific ISMS implementation guidance based on ISO/IEC 27002:2005.