(ISMS (Information Secure Management System یا سیستم مدیریت امنیت اطلاعات اولین بار طی مراحل تحریر وتوسعه استاندارد بریتانیایی 7799 در سالهای انتهایی دهه 1980 میلادی مورد بحث و توجه قرار گرفت. آخرین تعریف «سیستم مدیریت امنیت اطلاعات» از نظر استاندارد بین المللی آن عبارت است از :
«سیستم مدیریت امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که برپایه رویکرد مخاطرات کسب و کار (Business Risk Approach) قرارداشته و هدف آن، پایه گذاری، پیاده سازی ، بهره برداری، نظارت، بازبینی، نگهداری و بهبود امنیت اطلاعات است.»
«سیستم مدیریت امنیت اطلاعات» برای حصول اطمینان از کفایت و تناسب کنترلهای امنیتی محافظ داراییهای اطلاعاتی طراحی شدهاست تا به این وسیله به مشتریان و دیگر گروههای ذینفع درباره امنیت اطلاعات موجود در سازمان اطمینان خاطردادهشود.
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995 ، نگرش سیستماتیک به مقولهایمن سازی فضای تبادل اطلاعات شکل گرفت . بر اساس این نگرش، تامین امنیت فضای تبادلاطلاعات سازمانها، دفعتا مقدور نمی باشد و لازم است این امر بصورت مداوم در یک چرخهایمن سازی شامل مراحل طراحی، پیاده سازی، ارزیابی و اصلاح، انجام گیرد . برای این منظور لازماست هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:
-1 تهیه طرح ها و برنامه های امنیتی موردنیاز سازمان
-2 ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
-3 اجرای طرح ها و برنامه های امنیتی سازمان
برای امنیت اطلاعات سه اصل مهم را باید در نظر گرفت که عبارتند از :
محرمانگی :اطمینان از اینکه اطلاعات فقط در دسترس افراد مجاز قرار دارد
صحت : تامین صحت ، دقت و کامل بودن اطلاعات و روشهای پردازش آنها
دسترس پذیری : اطمینان از اینکه کاربران مجاز در صورت نیاز به اطلاعات و دارائیهای مربوطه به آنها دسترسی دارند .