ＩＳＭＳ（情報セキュリティマネジメントシステム）の概要

ＩＳＭＳ（Information Security Management System：情報セキュリティマネジメントシステム）とは、情報セキュリティ対策を経営管理活動の一環として、経営者のリーダーシップにより、全社的な・継続的な活動として取り組むことです。
　JIS Q 27001 では、次のように定義しています。
　「マネジメントシステム全体の中で、事業リスクに対する取組み方に基づいて、情報セキュリティの確立、導入、運用、監視、レビュー、維持及び改善を担う部分。
　注：マネジメントシステムには、組織の構造、方針、計画作成活動、責任、実践、手順、プロセス及び経営資源が含まれる。」

ＩＳＭＳの導入・運用は、次の手順で行われます。
　　・導入・推進のための組織体制の確立
　　・セキュリティポリシー（基本方針）の策定
　　・リスク分析の実施
　　・対策基準・実施基準の策定と周知 　　・実践活動とモニタリング 　そして、ＰＤＡＣＡサイクルにより継続的な改善活動を行うことにより、情報セキュリティの成熟度を高めることが必要です。

ＩＳＭＳの評価基準は、ＩＳＯやＪＩＳの規格になっており、第三者機関が審査する制度もあります。
　ＩＳＯ・ＪＩＳの規格には、
　　ISO/IEC27001（JIS Q 27001）ＩＳＭＳの要求事項
　　ISO/IEC27002（JIS Q 27002）ＩＳＭＳの実践規範
があります。「ＩＳＭＳを実践している」ことを評価する項目が要求事項で、それを実現するためのポイントを示したのが実践規範です。
　そして、実際にＩＳＭＳが実践されているかを第三者が評価する制度に、
　　情報セキュリティ監査制度
　　ＩＳＭＳ適合性認証制度
があります。