Un sistema di gestione della sicurezza delle informazioni (ISMS) è un insieme di politiche e procedure per la gestione sistematica dei dati sensibili di un'organizzazione. L'obiettivo di un ISMS è ridurre al minimo il rischio e garantire la continuità aziendale limitando in modo proattivo l'impatto di una violazione della sicurezza.
Un ISMS in genere si rivolge al comportamento e ai processi dei dipendenti, nonché ai dati e alla tecnologia. Può essere mirato a un particolare tipo di dati, come i dati dei clienti, oppure può essere implementato in modo completo che diventa parte della cultura aziendale.
ISO 27001 è una specifica per la creazione di un ISMS. Non impone azioni specifiche, ma include suggerimenti per la documentazione, audit interni, miglioramento continuo e azioni correttive e preventive.