Ein Informationssicherheits-Managementsystem (ISMS) enthält Anforderungen um Verfügbarkeits-, Vertraulichkeits- und Integritätsziele zu erreichen. Zudem wird in einem gut aufgestellten ISMS die regelmäßige Prüfung der Erreichung dieser Ziele abgebildet.

Zweck des ISMS ist es Risiken innerhalb der Informationssicherheit handhabbar zu machen. Ziel des Betreibens eines ISMS ist die kontinuierliche Verbesserung der Informationssicherheit und die Erhöhung des Reifegrades des zu Grunde liegenden Managementsystems.