ISMS（Information Security Management System）とは

[セキュリティ・キャンプ実施協議会，＠IT]

　ISMSとは情報セキュリティマネジメントシステムの略語であり、組織における情報資産の安全を確保するための枠組みである。

　ISMS構築に関わる事項はISO/IEC 27000シリーズとして国際規格化されており、用語を定めるISO/IEC 27000、ISMS要求事項を定めるISO/IEC 27001を筆頭とする複数の規格で構成されている。この規格群の中には組織がISO/IEC 27000 シリーズに準拠していることを認証する規格も含まれており、認証を受けることで対外的な信頼を得ることができる。

　ISO/IEC 27000シリーズの規格の一部は和訳され、JISとして定められている。

　ISMSが満たすべき要件はISO/IEC 27001に定められており、それを実践するための規範がISO/IEC 27002に定められている。ISO/IEC 27000では、ISMSの目的として秘匿性（Confidentiality）、完全性（Integrity）、可用性（Availability）が中心に据えられており、これらの頭文字をとって「C.I.A.」と呼ばれる。組織におけるISMSの確立のためには、組織が持つ業務や組織構造の一部としてISMSを組み込むことが重要であり、情報資源だけではなく雇用などの人的資源の管理に関しても定めている。

　ISO/IEC 27000シリーズは、リスクベースでISMSを構築することを定めている。リスクアセスメントを実施し、どのような管理策を実施するかを決定する仕組みが取られている。また、組織におけるセキュリティ基本方針などを見直し、改善するプロセスを定めることで継続的なISMSの維持、改善を行うとしている。

■更新履歴

【2004/1/1】初版公開。

【2017/11/27】最新情報に合わせて内容を書き直しました（セキュリティ・キャンプ実施協議会 著）。