ISMS (information security management system) atau sistem manajemen keamanan informasi adalah istilah yang muncul terutama dari ISO/IEC 27002 yang merujuk pada suatu sistem manajemen yang berhubungan dengan keamanan informasi. Konsep utama ISMS untuk suatu organisasi adalah untuk merancang, menerapkan, dan memelihara suatu rangkaian terpadu proses dan sistem untuk secara efektif mengelola keamanan informasi dan menjamin kerahasiaan, integritas, serta ketersediaan aset-aset informasi serta meminimalkan risiko keamanan informasi.
Standar ISMS yang paling terkenal adalah ISO/IEC 27001 dan ISO/IEC 27002 serta standar-standar terkait yang diterbitkan bersama oleh ISO dan IEC. Information Security Forum juga menerbitkan suatu ISMS lain yang disebut Standard of Good Practice (SOGP) yang lebih berdasarkan praktik dari pengalaman mereka. Kerangka manajemen teknologi informasi (TI) lain seperti COBIT dan ITIL juga menyentuh masalah-masalah keamanan walaupun lebih terarah pada kerangka tata kelola TI secara umum.
Information Security Management Maturity Model (dikenal dengan ISM-cubed atau ISM3) adalah suatu bentuk lain dari ISMS yang disusun berdasarkan standar-standar lain seperti ISO 20000, ISO 9001, CMM, ISO/IEC 27001, serta konsep-konsep umum tata kelola dan keamanan informasi. ISM3 dapat digunakan sebagai dasar bagi ISMS yang sesuai dengan ISO 9001. ISM3 berbasis pada proses dan mencakup metrik proses sedangkan ISO/IEC 27001 berbasis pada kontrol.
