Un sistema de gestión de seguridad de la información (SGSI), tal como lo define la norma ISO 27001:2005 es "la parte del sistema de gestión global, basada en un enfique hacia los riesgos que globales de un negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la información" [Norma Técnica Colombiana NTC-ISO-IEC-27001]

Cuando una organización cuenta con un sistema de gestión de calidad correctamente implementado y operativo, puede brindar la confianza a sus clientes que los productos y servicios serán suministrados de manera ininterrumpida y satifaciendo los requerimientos exigidos por sus clientes.

Cuando una organización decide implementar un sistema de gestión de seguridad de la información, busca establecer una serie de procesos, procedimientos, roles, responsabilidades, controles y herramientas que reduzcan la posibilidad e impacto de la ocurrencia de eventos nocivos que afecten el suministro de productos y prestación de servicios, en particular para aquellas situaciones que afectan al mas valioso de los activos de la organzación: La información.