ISMS 【Information Security Management System】 情報セキュリティマネジメントシステム

概要

ISMS（Information Security Management System）とは、組織内での情報の取り扱いについて、機密性、完全性、可用性を一定の水準で確保するための仕組み。特に、ISO/IEC 27001などの標準規格に基づいて整備された組織的なセキュリティ管理体制。

組織の管理の一環として、取り扱う情報の種類などから確保すべきセキュリティの水準を定め、計画や規約を整備して情報システムの運用などに反映させる取り組みの総体を指す。具体的には、国際規格であるISO/IEC 27001および同等の国内規格JIS Q 27001に定められた要求事項を満たし、体制を整備して継続的に実施することが求められる。

組織がどのような情報をどのように取り扱うかを特定し、情報の適切な保護・管理についての基本方針や対策基準（情報セキュリティポリシー）、実施手順などを定め、担当部門だけでなく全社的な取り組みとして周知・実施を図る。

また、情報セキュリティ上のリスクについて、アセスメント（特定・分析・評価）を行って対応方針を決め、実際に現場で起きる様々なリスクへ対応し、一定期間状況を監視・記録（モニタリング）して検証（レビュー）し、結果を元に再度アセスメントから一連のプロセスを繰り返すというサイクルを継続的に実施することが求められる。

ISMSの起源はBSI（イギリス規格協会）が1995年に策定したイギリス国内規格であるBS 7799で、これを元に2000年に国際規格のISO/IEC 17799が策定され、2005年にISO/IEC 27001および27002に改番された。日本ではほぼ同様の内容が国内規格として2006年にJIS Q 27001/27002として標準化された。

日本ではJIPDEC（日本情報経済社会推進協会）の情報マネジメントシステム認定センターが主導してISMS適合性評価制度を運用しており、審査を経て認定を受けることによりISMSが適切に整備されていることを内外に示すことができる。