ISO 27001 est un ensemble de normes définies par l'Organisation internationale de normalisation (ISO) pour la gestion et la sécurité de l'information. ISO 27001 est conçue pour permettre à un tiers d’auditer la sécurité de l’information d’une entreprise. L'auditeur tiers utilise la liste de contrôle de conformité pour identifier les problèmes liés à la sécurité des informations afin de permettre à l'entreprise d'améliorer ses stratégies.
Législation
La liste de contrôle de la conformité exige que l'auditeur évalue toutes les lois applicables à l'entreprise. L'auditeur doit vérifier que les contrôles de sécurité mis en place par l'entreprise sont documentés et conformes à toutes les normes requises.
Droits de propriété
Des contrôles doivent être en place pour protéger les droits de propriété intellectuelle, et ces contrôles doivent être bien appliqués. Lorsque le logiciel est acquis, les droits de propriété associés à ce logiciel doivent être pris en compte.
Protection de l'information
Les registres organisationnels et les informations personnelles de l'entreprise doivent être protégés. Ces informations doivent être correctes et utilisées avec autorisation.
Conformité aux règles de sécurité
Toute politique de sécurité mise en œuvre par l'entreprise doit être respectée par ses employés. Les gestionnaires doivent s'assurer que leurs employés se conforment aux politiques de sécurité. Les systèmes d’information doivent également respecter ces règles.
Systèmes d'information
Les outils du système d’information doivent être protégés afin d’empêcher un personnel non autorisé de les utiliser à mauvais escient. Ces outils doivent être séparés des autres outils tels que les systèmes d'exploitation et de développement.