System Zarządzania Bezpieczeństwem Informacji (ang. ISMS – Information Security Management System) – norma międzynarodowa standaryzująca bezpieczeństwo wymiany informacji. Może obejmować całą organizację lub jej części.

W swojej budowie i działaniu ISMS jest zbliżony do systemu zarządzania jakością według normy ISO 9001 (stosuje model „Planuj – Wykonuj – Sprawdzaj – Działaj” (PDCA)). Istotą normy jest ocena ryzyka związanego z bezpieczeństwem informacji oraz implementacja odpowiedniego nadzoru i zarządzania niezbędnego do zachowania poufności, integralności oraz dostępności danych. Podstawowy cel ISO 27001 to ochrona informacji przed bezpowrotna utratą, zniszczeniem, uszkodzeniem lub też przed dostaniem się w „niepowołane ręce”.

Norma składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z ustanowieniem i zarządzaniem ISMS, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami ISMS, przeglądami ISMS oraz ciągłym doskonaleniem ISMS. Wszystkie wymagania zdefiniowane w części podstawowej powinny być spełnione. Podstawą ustanowienia oraz utrzymania ISMS jest określenie metody oraz przeprowadzenie analizy ryzyka.

Poza zdefiniowaniem modelu zarządzania bezpieczeństwem informacji, norma ISO/IEC 27001 zawiera opis zabezpieczeń, które należy stosować w celu ograniczenia ryzyka (Załącznik A). Załącznik A jest obligatoryjny, zawiera jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji (cele stosowania zabezpieczeń i zabezpieczenia):

  1. Polityka bezpieczeństwa;
  2. Organizacja bezpieczeństwa informacji;
  3. Zarządzanie aktywami;
  4. Bezpieczeństwo zasobów ludzkich;
  5. Bezpieczeństwo fizyczne i środowiskowe;
  6. Zarządzanie systemami i sieciami;
  7. Kontrola dostępu;
  8. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych;
  9. Zarządzanie incydentami związanymi z bezpieczeństwem informacji;
  10. Zarządzanie ciągłością działania;
  11. Zgodność.