Um sistema de gestão da segurança da informação (ISMS) é um conjunto de políticas e procedimentos para gerir sistematicamente os dados sensíveis de uma organização. O objetivo de um ISMS é minimizar riscos e assegurar a continuidade do negócio limitando proativamente o impacto de uma quebra de segurança.
Um ISMS normalmente aborda o comportamento e processos dos funcionários, assim como dados e tecnologia. Ele pode ser direcionado para um determinado tipo de dados, como dados de clientes, ou pode ser implementado de uma forma abrangente que se torne parte da cultura da empresa.
ISO 27001 é uma especificação para a criação de um SGSI. Não exige ações específicas, mas inclui sugestões de documentação, auditorias internas, melhoria contínua e ações corretivas e preventivas.