ISMS適合性評価制度 【ISMS認証】

認定を受けるには国際規格であるISO/IEC 27001および同等の国内規格JIS Q 27001に定められた要求事項を満たし、体制を整備して継続的に実施することが求められる。組織がどのような情報をどのように取り扱うかを特定し、情報の適切な保護・管理についての基本方針や対策基準（情報セキュリティポリシー）、実施手順などを定め、担当部門だけでなく全社的な取り組みとして周知・実施を図らなければならない。

認定を希望する組織は国内に約20あるISMS-AC指定の認証機関に審査を申請し、数か月をかけて何段階かに渡り書面、立ち入りによる審査を行う。基準を満たしていると認められると認証登録が行われる。登録後は通常1年毎に維持審査（サーベイランス審査）、3年毎に再認証審査を行い、取り組みが継続していることを確かめる。

認定されるとパンフレットやWebサイトなどで登録番号などを掲示することができ、対外的に情報セキュリティへの取り組みをアピールすることができる。認定状況はISMS-ACのWebサイトなどでも公開されるため、当該組織の認定状況は誰でも確認することができる。

2002年に一般財団法人日本情報経済社会推進協会（JIPDEC）内に設けられた情報マネジメントシステム認定センターが制度運用を開始した。2018年に同センターは一般社団法人として独立した。

関連用語

ISO

【International Organization for Standardization】

可用性

【availability】

イベント

【event】

プライバシーマーク

【privacy mark】

サイバー攻撃

【cyberattack】

ISMS

【Information Security Management System】

プロセス

【process】

ネットワーク

【network】

インシデント

【incident】

システム

【system】

データ

【data】

セキュリティ

【security】

信頼性

【reliability】

クラウド

【cloud】

個人情報

【PII】

リスク

【risk】

C.I.A.

【Confidentiality, Integrity, and Availability】

JIPDEC

【Japan Institute for Promotion of Digital Economy and Community】

リスクアセスメント

【risk assessment】

情報セキュリティ

【information security】