É um sistema não necessariamente informatizado, embasado nas normas NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2006*.
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes.