Systém riadenia informačnej bezpečnosti je systematický a štruktúrovaný spôsob riadenia bezpečnosti informácií. Je to súbor opatrení zložený z rôznych politík, procesov, organizačných štruktúr, softvérových a hardvérových funkcionalít, ktoré sú zamerané na ochranu informácií podľa potrieb organizácie.  

Jednotlivé požiadavky na tento systém sú stanovené v medzinárodnom štandarde STN ISO/IEC 27001:2013, voči ktorému je možné tento systém certifikovať nezávislým subjektom. Norma obsahuje najmä požiadavky na vytvorenie,  zavedenie, údržbu a kontinuálne zlepšovanie systému riadenia informačnej bezpečnosti (ďalej len ISMS).

Zavedenie a používanie certifikovaného systému  bezpečnosti informačných systémov na úrovni uvedenej medzinárodnej normy je jedným z akreditačných kritérií podľa nariadenia (EÚ) č. 907/2014 pre   agentúry zodpovedné za riadenie a kontrolu ročných výdavkov presahujúcich 400 miliónov EUR.

Certifikovaný ISMS svedčí o tom, že organizácia primerane riadi riziká v oblasti bezpečnosti informácií. Pokiaľ ide o riziko pre fondy, najmä čo sa týka integrity a dostupnosti údajov EPZF/EPFRV spracúvaných platobnou agentúrou, Komisii sa týmto poskytujú dodatočné záruky týkajúce sa kontrol uskutočňovaných platobnými agentúrami v súvislosti s bezpečnostnými rizikami, ktorým čelia informačné systémy. Nenahrádzajú sa tým však pravidelné posúdenia internými alebo externými audítormi týkajúce sa účinnosti kontrol.

V norme ISO 27001 sa špecifikujú postupy stanovovania, vykonávania, udržiavania a zlepšovania ISMS v rámci organizácie. Súlad s požiadavkami tejto normy je nevyhnutným predpokladom na získanie certifikácie.