ISMS 【Information Security Management System】 情報セキュリティマネジメントシステム

組織の管理の一環として、取り扱う情報の種類などから確保すべきセキュリティの水準を定め、計画や規約を整備して情報システムの運用などに反映させる取り組みの総体を指す。具体的には、国際規格であるISO/IEC 27001および同等の国内規格JIS Q 27001に定められた要求事項を満たし、体制を整備して継続的に実施することが求められる。

組織がどのような情報をどのように取り扱うかを特定し、情報の適切な保護・管理についての基本方針や対策基準（情報セキュリティポリシー）、実施手順などを定め、担当部門だけでなく全社的な取り組みとして周知・実施を図る。

また、情報セキュリティ上のリスクについて、アセスメント（特定・分析・評価）を行って対応方針を決め、実際に現場で起きる様々なリスクへ対応し、一定期間状況を監視・記録（モニタリング）して検証（レビュー）し、結果を元に再度アセスメントから一連のプロセスを繰り返すというサイクルを継続的に実施することが求められる。

ISMSの起源はBSI（イギリス規格協会）が1995年に策定したイギリス国内規格であるBS 7799で、これを元に2000年に国際規格のISO/IEC 17799が策定され、2005年にISO/IEC 27001および27002に改番された。日本ではほぼ同様の内容が国内規格として2006年にJIS Q 27001/27002として標準化された。

日本ではJIPDEC（日本情報経済社会推進協会）の情報マネジメントシステム認定センターが主導してISMS適合性評価制度を運用しており、審査を経て認定を受けることによりISMSが適切に整備されていることを内外に示すことができる。

関連用語

ISO

【International Organization for Standardization】

可用性

【availability】

プライバシーマーク

【privacy mark】

アクセス

【access】

ISMS適合性評価制度

【ISMS認証】

脆弱性

【vulnerability】

プロセス

【process】

ステップ数

【number of steps】

システム

【system】

データ

【data】

セキュリティ

【security】

クラウド

【cloud】

PDCAサイクル

【Plan-Do-Check-Act cycle】

個人情報

【PII】

リスク

【risk】

JIPDEC

【Japan Institute for Promotion of Digital Economy and Community】

リスクアセスメント

【risk assessment】

情報セキュリティ

【information security】

情報資産

【information asset】

ISO/IEC 27001