ISO/IEC 20071:2013 atau sering disebut Information Security Management System (ISMS) adalah standar terkait tata kelola pengamanan informasi untuk memastikan perlindungan atas kerahasiaan (Confidentiality), integritas (Integrity), dan ketersediaan (Availability) dari suatu informasi. ISMS merupakan bagian dari sistem manajemen dalam suatu organisasi yang berbasis pendekatan risiko bisnis yang bertujuan untuk membangun, mengimplementasikan, mengoperasikan, memantau, memelihara, dan meningkatkan keamanan informasi.
ISO/IEC 27001:2013 merupakan standar internasional yang bersifat auditable dan berprinsip “balanced-risk controls” yang dikemas dalam Plan-Do-Check-Action (P-D-C-A) seperti ditunjukkan pada gambar sebagai berikut.
Gambar di atas menunjukkan bahwa:
- Plan: terdapat dalam klausul 4-7
- Do: terdapat dalam klausul 8
- Check: terdapat dalam klausul 9
- Act: terdapat dalam klausul 10