„Mit (Informations-)Sicherheitsmanagement wird die Planungs-, Lenkungs- und Kontrollaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen jeder Institution eingebettet werden.“

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Ein Informationssicherheitsmanagementsystem (ISMS) beinhaltet also Regeln und Rollen, die darauf abzielen, das Informationssicherheitsniveau in einer Organisation durch Sensibilisierung und die Verteilung von Verantwortung zu erhöhen. Ein ISMS entsteht in der Regel nicht im „luftleeren Raum“. Es ist Teil der Organisationsstrategie und muss deshalb in existierende Managementsysteme eingefügt werden. Dies ist deshalb wichtig, da ein ISMS nicht für sich stehen kann, vielmehr muss es den „Risikoappetit“ der Organisation abbilden. Im Zeitalter der Digitalisierung wird ein Großteil der Informationen, die in Organisationen existieren, auf virtuellen Systemen verarbeitet. Jedoch gibt es in den meisten Organisationen nach wie vor Informationen und Werte, die analog verarbeitet werden. Zudem gibt es Informationen, deren Status leicht von „virtuell“ zu „analog“ wechseln kann. Ein typisches Beispiel hierfür ist das Drucken von Dokumenten: Man kann ein virtuelles Dokument technisch gut absichern, sobald jedoch das Dokument auf ein Blatt Papier abgedruckt wird, ist es nicht mehr verschlüsselt und für jeden einsehbar. Ein ISMS befasst sich deshalb mit der Absicherung aller Informationen, die in einer Organisation generiert werden und die als besonders schützenswert befunden werden – digital sowie analog.