Un sistema de gestión de seguridad de la información (SGSI) es un conjunto de políticas y procedimientos para gestionar sistemáticamente los datos confidenciales de una organización. El objetivo de un SGSI es minimizar el riesgo y garantizar la continuidad del negocio limitando proactivamente el impacto de una brecha de seguridad.
Un SGSI generalmente aborda el comportamiento y los procesos de los empleados, así como los datos y la tecnología. Puede estar dirigido a un tipo particular de datos, como los datos de los clientes, o puede implementarse de una manera integral que se convierta en parte de la cultura de la empresa.
ISO 27001 es una especificación para crear un SGSI. No impone acciones específicas, pero incluye sugerencias para documentación, auditorías internas, mejora continua y acciones correctivas y preventivas.