System zgodny z wymaganiami ISO/ IEC 27001 polega głównie na wdrożeniu odpowiednich procedur, polityki czy procesów mających zapewnić bezpieczeństwo przechowywanych i przetwarzanych informacji. Norma ISO/ IEC 27001 jest oparta na założeniu ciągłego doskonalenia, będącego podstawą większości popularnych norm ISO.
Podobnie jak normy innych systemów zarządzania, ISO/ IEC 27001 wymaga planowania systemu, wdrażania odpowiednich działań, sprawdzenia ich skuteczności oraz doskonalenia systemu. W ramach tego znanego cyklu P-D-C-A, System Zarządzania Bezpieczeństwem Informacji (SZBI) wprowadza kilka elementów, właściwych tylko dla zarządzania bezpieczeństwem informacji. Jednym z nich jest konieczność przeprowadzenia inwentaryzacji wszystkich zasobów informacyjnych oraz sporządzenie wykazu aktywów dostępnych w organizacji. Do aktywów należą na przykład: wzory dokumentów, archiwa, programy, komputery a także zasoby ludzkie. Kolejnym elementem systemu zarządzania bezpieczeństwem informacji jest klasyfikacja informacji. Każda informacja przetwarzana lub przechowywana przez organizację powinna zostać przypisana do określonej grupy.
Główne grupy informacji to:
Poza klasyfikacją, należy również określić sposób postępowania z informacją. Przez postępowanie z informacją należy rozumieć między innymi sposób oznaczania, dystrybucji oraz archiwizacji i usuwania informacji. Poprawna klasyfikacja i określenie metod zarządzania informacjami umożliwi prawidłowy nadzór nad informacjami, tym samym ułatwiając zabezpieczenie ich przed niewłaściwym użyciem czy utratą.