Nel 2013, i requisiti dell'ISO-27001 sono cambiati in maniera notevole rispetto alle prime versioni del 2005. La struttura portante della norma non è stata soltanto modificata, ma anche rafforzata in modo significativo.
La norma ISO-27001 è successiva all'attuazione di un Information Security Management System (ISMS), un approccio procedurale. Mentre nella prima versione era ancora presente un rimando esplicito al ciclo PDCA, adesso quest'ultimo non è più obbligatorio. I requisiti valgono per organizzazioni di qualsiasi dimensione e settore.
L'ISO-27001 richiede alle aziende di definire e considerare tutti i temi esterni e interni che possono influire sulla propria capacità di attuare con successo un ISMS. Con questo si intendono in particolare la cultura aziendale, le condizioni ambientali, le disposizioni regolamentari, gli obblighi contrattuali e legali nonché le linee guida ufficiali in relazione alla governance. Ai vertici della direzione di un'organizzazione l'ISO-27001 richiede di stabilire in maniera chiara la politica in materia di sicurezza delle informazioni e di definire competenze e responsabilità per lo svolgimento dei compiti. Inoltre un'organizzazione ha l'obbligo di promuovere la consapevolezza sul tema della sicurezza delle informazioni in tutta l'azienda.
Anche la pianificazione svolge un ruolo fondamentale nella certificazione conforme all'ISO-27001. Perciò le disposizioni riguardano la valutazione di rischi specifici collegati alla sicurezza delle informazioni dell'azienda e l'elaborazione di un programma di trattamento. La responsabilità di stabilire i rischi e le relative risposte è esclusivamente di competenza dell'azienda. Inoltre la norma prescrive che le risorse di un'azienda debbano essere pronte a garantire un miglioramento continuo, nonché il mantenimento e l'attuazione dell'ISMS. Le informazioni riguardanti l'ISMS devono essere inoltre documentate con cura. È richiesto anche di preparare a intervalli regolari rapporti informativi. Le aziende devono essere in grado di controllare, quantificare e analizzare l'efficacia del proprio ISMS. Ecco perché tutto questo deve svolgersi a intervalli regolari.
Una volta impostato l'ISMS, si procede con la classificazione dei valori aziendali. Questo avviene tenendo in considerazione i tre pilastri della riservatezza, integrità e disponibilità. La classificazione è suddivisa in tre livelli.
Il livello uno, ad esempio, comprende i documenti pubblici che in caso di alterazione possono causare all'azienda un danno alquanto irrilevante che non supera i 500 euro. Fanno parte di questo livello i documenti che anche in caso di inosservanza persistente di una settimana delle norme ISO comportano a malapena danni per l'organizzazione.
Il secondo livello comprende documenti interni come ad esempio documenti contabili o relativi alla retribuzione. In questo caso, con violazioni alla norma ISO per la sicurezza della informazioni, possono insorgere notevoli danni economici fino ai 5.000 euro. Incidenti di questo tipo non possono protrarsi per più di 24 ore.
Il terzo e ultimo livello riguarda documenti che contengono dati interni molto sensibili. Qui in caso di alterazione i danni oltrepassano la soglia dei 5.000 euro. Incidenti di questo tipo non possono protrarsi per più di 3 ore.