Segundo a Norma ABNT NBR ISO/IEC 27001:2006, é um processo que inclui a prevenção, detecção e resposta a incidentes, atuação, manutenção, análise crítica e auditoria. Todos estes aspectos são cercados nas fases 'Planejar' (Plan), 'Fazer' (Do), 'Checar' (Check) e 'Agir' (Act) do PDCA.