Das ISMS legt die Ziele der Informationssicherheit fest.
Dies geschieht durch eine Aufstellung von Verfahren/Vorgehensweisen und Regeln innerhalb eines Unternehmens.
Die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern und dokumentiert schlussendlich die Anforderungen die sich aus dem Ziel ergeben.

Ein ISMS ist die Summe der Aufgaben, Hilfsmittel, Nachweise und organisatorischen Abläufen, die es der Geschäftsführung ermöglichen, alle Handlungen bezüglich der Informationssicherheit zu steuern und zu dokumentieren.

Betreiber von IT-Systemen sind in der Nachweispflicht, ein gewisses Maß an Sicherheit, abhängig von der Unternehmensgröße, eingeführt zu haben. Kommt es zu einem Datenschutzvorfall, kann man diesen Nachweis an "Hand" eines ISMS erbringen.