情報セキュリティを確保・維持するために、セキュリティポリシーに基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する枠組みのこと。
ISMSに求められる範囲は技術的な情報セキュリティ対策のレベルではなく、セキュリティ管理体制を構築・監査し、リスクマネジメントを実施することである。
日本情報処理開発協会(JIPDEC)によるISMSの定義
ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである。
基本コンセプト
保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善すること
●機密性:認可されたエンティティのみが情報を使用できる
●完全性:資産の正確さ及び完全さを保護する
●可用性:認可されたエンティティがアクセス及び使用が可能である
