Un SGSI es una parte del sistema de gestión general que establece procesos para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información de una organización basándose en un enfoque de riesgo y un ciclo de mejora continua. Los SGSI se documentan y siguen normas internacionales como ISO/IEC 27001 e ISO/IEC 27002 para formalizar las políticas y hacerlas más fáciles de comunicar.