ISMSとは、組織における情報セキュリティを管理する仕組みのこと。「Information Security Management System」の頭文字をとった用語で、情報セキュリティマネジメントと訳される。持続的なセキュリティ対策を組織に定着させるため、事業活動プロセスやマネジメント構造のなかに、ISMSを組み込むことが重要となる。企業でIT化が進展する一方、サイバー攻撃や情報漏えいのリスクが高まっている。情報システム投資とISMSの構築をバランス良く実行に移すなど、適切な対策を講じていくことが組織には求められている。ISMSは、一般的に以下のような手順で実行される。

• 自社のリスクアセスメントの洗い出し
• 必要となるセキュリティレベルの策定
• 実行計画の策定
• 必要な資源配分や予算の確保
• ISMSの構築、運用
• 実行内容の評価、検証、改善

ISMSの取り組みを組織の中で定着させるための要求事項を定めたのが、国際規格ISO/IEC 27001や日本工業規格 JIS Q 27001だ。ISO 27001/JISQ 27001では、定められた要求事項を組織的に実施することが期待されている。さらに、その適合度合いを第三者が評価し、認定する「ISMS適合性評価制度」を、一般財団法人日本情報経済社会推進協会（JIPDEC）が運用している。適切にISMSを企業に浸透させるために、ISO 27001/JISQ 27001で定められた要求事項順守や、ISMS適合性評価制度の活用を検討したい。

ISMSの目的

ISMSの目的は、組織内における情報の「機密性」、「完全性」、「可用性」、いわゆる情報セキュリティの3要素を確保することとされている。ISMSを正しく理解するために、情報セキュリティの3要素を確認しておく必要がある。

機密性

権限のない人が情報にアクセスすることを防ぐこと。IDとパスワードを設定して、権限のあるユーザーにのみ情報へのアクセスを許可することや、ファイアウォールを設置し、企業内への不正アクセスを防止する仕組みは機密性を確保するために重要となる。

完全性

情報が破壊、改ざんされていないことを保証すること。Webサイトにおけるデータベースの改ざんを防止する仕組みや、ドキュメントへの電子署名の仕組みなどは、完全性の確保につながる。

可用性

システムや情報をいつでも利用できる状態にすること。インシデント発生の際、迅速な復旧を可能にするデータのバックアップはその第一歩となる。また、データバックアップの取得や、BCP（Business continuity planning、事業継続計画）を策定し、地震などの災害時においても情報システムを継続利用可能な対策をすることも、可用性確保のための対策である。