Information Security Management System (ISMS) atau yang di Indonesia biasa disebut sebagai SMKI (Sistem Manajemen Keamanan Informasi) adalah sebuah rencana manajemen yang menspesifikasikan kebutuhan-kebutuhan yang diperlkukan untuk implementasi kontrol keamanan yang telah disesuaikan dengan kebutuhan organisasi. ISMS didesain untuk melindungi asset informasi dari seluruh gangguan keamanan.

ISO27K adalah sebuah seri dari standar internasional untuk manajemen keamanan informasi. Standar ini mencakup seluruh tipe organisasi (Contohnya perusahaan komersial, agen pemerintahan, organisasi nir-laba, dll) dan seluruh ukuran bisnis, mulai dari usaha mikro hingga perusahaan besar multinasional.

Standar ISO/IEC 27001:2005 adalah sebuah proses dari mengaplikasikan kontrol manajemen keamanan di daialm sebuah organisasi untuk mendapatkan servis keamanan dalam ranga meminimalisir risiko aset dan memastikan keberlangsungan bisnis. Servis keamanan yang utama yang harus diperhatikan adalah sebagai berikut:

a.         Information Confidentiality  (Kerahasiaan Informasi)

b.        Information Integrity (Integritas Informasi)

c.         Services Availibility (Ketersediaan servis)

Standar internasional ini mengadopsi sebuah model bernama Plan-Do-Check-Act (PDCA), yang diaplikasikan ke struktur di dalam seluruh proses ISMS. Gambar dibawah mengilustrasikan model PDCA

1.        Plan: adalah proses membangun ISMS dengan cara mengaplikasikan kebijakan-kebijakan dan objektif-objektif dari ISMS termasuk membangun prosedur yang menitikberatkan pada mengelola risiko.

2.        Do: Adalah proses mengimplementasi dan mengoperasikan ISMS yang telah direncanakan di langkap sebelumnya.

3.        Check: adalah proses pemantauan/monitoring dan peninjauan/reviewing ISMS dengan cara mengukur performa terhadap kontrol yang telah diaplikasikan, termasuk kebijakan, dan pada akhirnya mengeluarkan hasilnya untuk ditinjau oleh manajemen.

4.        Act: berdasarkan peninjauan dari manajemen dari langkah sebelumnya, peningkatan dari ISMS yang telah diaplikasikan akan mengambil tempatnya.

Pakar keamanan mengatakan, dan data statistik turut mengkonfirmasi bahwa:

• Administrator keamanan teknologi informasi harus berharap untuk mengabdikan satu dari tiga bagian waktu mereka untuk menangani aspek teknis.lalu 2 bagian sisanya harus dihabiskan untuk membangun kebijakan dan prosedur, mengadakan peninjauan keamanan dan analisis risiko, menangani perencanaan kontingensi dan mempromosikan kesadaran keamanan.
• Keamanan lebih tergantung kepada orang daripada teknologi.
• Karyawan adalah sebuah ancaman yang jauh lebih besar daripada orang luar.
• Keamanan itu seperti rantai, ia hanya bisa sekuat sambungan terlemah antar segmennya.
• Derajat dari keamanan tergantung terhadap tiga faktor: risiko yang akan diambil, fungsi dari sistem, dan biaya yang disiapkan untuk dibayar.
• Keamanan bukan sebuah status atau potret, tetapi sebuah proses yang selalu berjalan.