■ISMS（Information Security Management System：情報セキュリティマネジメントシステム）
　情報に関するセキュリティを評価・管理する仕組、またはその仕組みが国際標準規格（ISO/IEC 17799）を満たしていることを認証する制度。

　ISMSは、情報セキュリティ管理実施基準として「JIS X 5080」によって標準化されている。JIS X 5080は、イギリス規格協会（BSI）が策定した「BS7799」を元に、国際標準機構（ISO）が国際標準化した「ISO/IEC 17799」を基準として、日本国内向けとして2002年に標準化したものである。

　ISMSは、コンピュータ・システムのセキュリティ対策に限らず、組織が情報を扱う際のルール（セキュリティ・ポリシー）と、それに基づく対策の導入・運用、対策結果の監視・見直し、経営陣による改善・処置といった、トータルなリスク・マネージメントを指す。ISMSでは、セキュリティに対するリスクをゼロにすることは要求していない。組織として許容できる範囲のリスクをあらかじめ判断し、そこまでリスクを軽減できる対策を導入・運用することが求められている。

　そのためにISMSでは、以下のPDCAサイクルを継続的に繰り返し、セキュリティ・レベルの向上を図ることが求められている。

• 情報セキュリティ対策の具体的計画・目標を策定（Plan）
• 計画に基づく対策の導入・運用（Do）
• 実施した結果の監視・見直し（Check）
• 経営陣による改善・処置（Act）

　またISMSは、「組織が保護すべき情報資産について、機密性、完全性、可用性をバランスよく維持し、改善すること」をコンセプトとしている。ここでの機密性、完全性、可用性は、以下のような意味である。

• 機密性：認可されていない個人や団体、プロセスに対して情報を使用不可／非公開にする特性（アクセス権を持つものだけが、情報にアクセスできるようにする）
• 完全性：資産の正確さ、および完全さを保護する特性（情報の処理方法が正確かつ完全であり、それが保護された状態にある）
• 可用性：認可された団体などが要求したときに、アクセスおよび使用が可能である特性（認可されたものが、情報や関連資産にアクセスし、使用できる）

　企業のISMSが、ISO/IEC 17799に適合していることを認証する制度として、「ISMS適合性評価制度」が、財団法人日本情報処理開発協会（JIPDEC）によって運用されている。ISMSの認証を受けるには、JIPDECの指定審査登録機関に申請し、ISMSに基づく審査（現地審査あり）と監査を受ける必要がある。なおISMS適合性評価制度では、認証登録後、通常1年ごとに維持審査(サーベイランス)が実施され、3年ごとに審査更新が行われる。

　情報漏えいに関する事件・事故の発生、内部統制への対応などから、企業の情報管理に対する関心が高まっており、ISMSの認証を受ける企業が増加傾向にある。