Différents éléments peuvent inciter une entreprise à sécuriser son système d'information autour de trois axes (sécurité de l'information, disponibilité de l'information et intégrité de l'information). Cette décision peut provenir d'une réglementation (Règlement Général sur la Protection des Données), d'un choix interne ou d'une exigence cliente (avec exigence d'audit ou de certification). Le macro-processus réalisé à partir des exigences de l'ISO 27001 permet d'établir, mettre en oeuvre évaluer et améliorer le SMSI d'un organisme pour obtenir la satisfaction des parties prenantes avec un SI sécurisé et performant,et ainsi le préparer à la certification.