Ein Information Security Management System (kurz ISMS) ist englisch für ein „Managementsystem für Informationssicherheit“. Ein ISMS stellt daher ein Management-System - nicht zu verwechseln mit einem IT-System - ähnlich den Qualitätsmanagement dar. „Ein Managementsystem umfasst alle Regelungen, die für die Steuerung und Lenkung der Institution sorgen und somit zur Zielerreichung beitragen.„ [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)". (Link)], S. 7.
Konkret definiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein ISMS wie folgt: „Ein Managementsystem für Informationssicherheit legt somit fest, mit welchen Instrumenten und Methoden die Leitungsebene einer Institution die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenken kann.“ [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)". (Link)], S. 7
Neben den Standards des BSI existieren weitere Normen, die in der ISO-/IEC-2700x-Reihe (bzw. auch als übersetzte DIN-Normen) zusammengefasst werden.
Einen guten ersten Überblick bietet auch die Seite "Strukturierte Informationssicherheit durch ein ISMS" der Transferstelle Cybersicherheit im Mittelstand. Dort gibt es auch eine Workshopreihe ISMS-Werkstatt. Auch das Mittelstand-Digital Zentrum Magdeburg hat einen übersichtlichen Blogbeitrag "Wie Informationssicherheitsmanagement Ihr KMU sicherer macht" und eine erläuternde Podcast-Folge (Nr. 19) zum ISMS.