ISMS：Information Security Management System

ISMSとは

ISMSとは「Information Security Management System（情報セキュリティ・マネジメント・システム）」の略称である（以下ISMSとする）。

ISMSとは、情報セキュリティに関する「Plan（計画）-Do（実施）-Check（点検）-Act（処置）」のPDCAサイクルにもとづいたマネジメント・システムを指す。また、その目的はPDCAサイクルを確立することで、組織が情報セキュリティに関するリスクを継続的に管理できる仕組みを確立することにある。

ISMSに関する認証制度

1999年に英国規格協会（BSI）がISMSの標準規格として「BS7799」を策定した。「BS7799」は、実践基準である「BS7799-Part1」と認証基準である「BS7799-Part2」で構成される。

「BS7799-Part1」は、2000年に国際標準化機構（ISO）によって「ISO/IEC 17799：2000」として国際標準化された。「ISO/IEC　17799：2000」は、その後、2005年に改訂があり、「ISO/IEC　17799：2005」が発行され、2007年には規格番号の変更により「ISO/IEC　27002」となった。

 国内では「ISO/IEC　17799：2000」に沿って、2002年に「JIS X 5080」としてJIS化されている。また、2006年に「ISO/IEC　17799：2005」に沿って、「JIS Q 27002：2006」が発行されている。

 「BS7799-Part2」は、2005年に同規格をベースに国際標準化され「ISO/IEC27001：2005」が発行され、2006年に国内規格として「JIS　Q27001：2006」が発行された。

 日本では、財団法人日本情報処理開発協会（JIPDEC）が「ISO/IEC27001」による認証制度の日本語版である「JIS Q 27001：2006」を運用している。なお、国内規格として「JIS Q 27001：2006」が発行されたことに伴い、ISMS認証基準を「JIS Q 27001：2006」とし、ISMS認証基準（Ver.2）は移行計画に従い、2007年11月で移行が完了され、廃止されている。 

従って、ISMSに関する認証制度である「ISMS適合性評価制度」と「BSIの認証制度」は、内容的には同じ内容であって、認定・認証機関だけが異なっていることになる。

ISMSに関する基本用語の定義

ISMSにおいては、情報セキュリティ、及びその対象となる要素（完全性、機密性、可用性）は次のように定義されている。

 ・情報セキュリティ：情報の機密性、完全性及び可用性の維持

 ・機密性：アクセスを認可された者だけが情報にアクセスできることを確実にすること

 ・完全性：情報及び処理方法が、正確であること及び完全であることを保護すること

 ・可用性：認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること