La Gestione della Sicurezza IT (IT Security Management) è il processo per la gestione di un predefinito livello di sicurezza dell’informazione, dei servizi e della infrastruttura informatica. L’IT Security Management permette e assicura che:

• Siano implementati e gestiti i controlli di sicurezza per affrontare particolari cambiamenti quali: cambiamenti nelle richieste del business e/o dei servizi IT, cambiamenti di elementi dell’architettura IT, ecc;
• Siano gestiti gli incidenti relativi alla sicurezza (security incidents);
• I risultati dell’audit mostrino l’adeguatezza dei controlli di sicurezza e delle misure intraprese;
• Siano prodotti i rapporti che mostrano lo stato della sicurezza delle informazioni.

Il Management dell’azienda è responsabile nei confronti degli azionisti per la sicurezza e per la definizione della relativa politica aziendale. E' inoltre responsabile per avviare le appropriate azioni per aumentare le possibilità che un incidente di sicurezza si verifichi a livelli accettabili.  L’IT Security Management è governato dalle norme che confermano  la decisione aziendale di investire nella sicurezza delle informazioni e delle relative elaborazioni. Tale norme forniscono al Management le linee guida e le indicazioni sull’importanza relativa dei vari aspetti dell’organizzazione e su quello che è perseguibile e ciò che non lo è, nell’utilizzo dei sistemi ICT e dei dati.
Ogni organizzazione deve avere una politica di sicurezza delle informazioni che sia largamente diffusa, condivisa da tutti all’interno dell’organizzazione stessa ed attivamente rafforzata e rivista.
Il processo gestisce il percorso completo delle informazionei, dalla raccolta dei requisiti del cliente, sino alla pianificazione, implementazione, valutazione e manutenzione – sotto una struttura di controllo – e con un regolare rapporto al cliente sullo stato della sicurezza.
Elementi intrinseci di tutte le attività all’interno del processo di IT Security Management sono la valutazione del rischio e della vulnerabilità e la gestione e l’implementazione di contromisure, a costi ragionevolii, per ridurre la vulnerabilità ed il rischio ad un livello accettabile per il business. Queste attività devono essere strettamente coordinate con tutte le altre aree del Service Management, specialmente con i processi di Availability ed IT Service Continuity Management.