情報セキュリティマネジメントシステム（じょうほうセキュリティマネジメントシステム、ISMS: Information Security Management System）は、情報資産のセキュリティを管理するための枠組みを策定し，実施する事。ISMSという用語はから来ている。ISMSの目標は，リスクマネジメントプロセスを適用することによって情報の機密性，完全性及び可用性を維持し，かつ，リスクを適切に管理しているという信頼を利害関係者に与えることにある。ISMSの標準がISO 27001およびそれと同等なJIS Q 27001に規定されているので、本稿では2016年現在におけるこれらの標準の最新版であるISO/IEC 27001:2013（JIS Q 27000:2014と同等）をベースにISMSを説明する。ISMSを規定したISO/IEC 27001:2013は、ISOの様々なマネジメントシステム規格(MSS Management System Standard)の一つであり、MSSの共通化を図った附属書SLに沿って規格化されている。これにより、品質、環境、ITサービス、事業継続のマネジメントシステムを規定したQMS、EMS、ITSMS、BCMSとの整合性が図られている。また2013年の改定以降、リスクマネジメントの国際規格であるISO 21000:2009（JIS Q 31000:2010）との整合性も図られている。ISO/IEC JTC 1 （情報技術）の SC27委員会 （セキュリティ技術副委員会）には，情報セキュリティのためのマネジメントシステム規格の開発を担当する作業グループがあり，そこでISMSの構築のしかたと認定の基準を審議して国際規格 ISO/IEC 27001になり、その翻訳が日本工業規格 (JIS) になっている。SC27はISMS関連の国際規格を他にも幾つか標準化しており、それらの規格は，ISMS ファミリ規格と呼ばれる（ファミリ規格の詳細はJIS Q 27000 0.2節を参照）。本節ではISMS全般を理解する上で必要となる用語を解説する。リスクとは目的に対する不確かさの影響を指し、情報セキュリティリスクは，脅威が情報資産のぜい弱性又は情報資産グループのぜい弱性に付け込み，その結果，組織に損害を与える可能性に伴って生じる。なおISMS の文脈においては，情報セキュリティリスクは，情報セキュリティ目的に対する不確かさの影響として表現することがある。なお情報資産はISOの原文では「資産」(asset)だが誤解を招かぬようJISでは「情報資産」としているリスクを起こす潜在的要因をリスク源といい、その典型例として脅威と脆弱性がある。脅威（threat）とはシステム又は組織に損害を与える可能性がある，望ましくないインシデントの潜在的な原因を指し、脅威は人為的脅威と環境的脅威に分類でき、人為的脅威はさらに意図的脅威(deliberate threat)と偶発的脅威(accidental threat)に分類できる。脆弱性（vulnerability)とは一つ以上の脅威によって付け込まれる可能性のある資産または管理策（後述）の弱点を指す。ISMSでは、各リスクに対しリスクレベルというリスクの大きさを割り振る。リスクレベルはリスクの起こりやすさと起こった場合の結果によって決定する。リスクレベルの決定法としてJIPDECは資産価値、脅威、脆弱性を数値化し、として算出する方法を例示している。経済的な理由などにより、既知のリスクをすべて取り除くことが現実的でないこともあるので、ISMSでは組織が受容可能なリスクの水準を定め、リスク保有する事を許容している。情報セキュリティ事象（information security event）とは、情報セキュリティ方針への違反若しくは管理策の不具合の可能性，又はセキュリティに関係し得る未知の状況を示す，システム，サービス又はネットワークの状態に関連する事象のことである。情報セキュリティインシデント（information security incident）は望まない単独若しくは一連の情報セキュリティ事象，又は予期しない単独若しくは一連の情報セキュリティ事象であって，事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。情報セキュリティインシデント管理（information security incident management）情報セキュリティインシデントを検出し，報告し，評価し，応対し，対処し，更にそこから学習するためのプロセス。継続した情報セキュリティの運用を確実にするためのプロセスを情報セキュリティ継続（information security continuity）ISMSを行う組織には以下が求められる：これらを行うため、ISMSではプロセスアプローチという手法が取られる。プロセスアプローチでは経営活動をインプットをアウトプットに変換するプロセスとみなし、これらのプロセスをシステムとして組織に適応・管理する。一方、2005年度版のISO/ETCでは強調されていたPDCAサイクルは2016年時点での最新版である2013年度版では大きく後退しており、ISMSの規格本体であるISO/IEC 27001:2013（JIS Q 27001:2014）にはPCDAに関する記述はない。ISO MSSの共通基盤を与える附属書 SLでも、既存のマネジメントシステム規格で様々なモデルが採用されているという理由でPDCAサイクルなど１つのモデルを採用する事を避けている。ただし附属書 SL ではPDCA サイクルの概念を受け入れており、JIPDECもPDCAサイクルを採用する事でISMSのプロセスが整理されるとしている。トップマネジメントとは最高位で組織を指揮し、管理する個人または人々の集まりである。トップマネジメントは情報セキュリティ目的（後述）ないしその枠組の提示やISMSの組織プロセスへの統合と必要な資源の提供を行い、ISMSに関して重要性の伝達、成果達成の保証、指揮、支援を行う。トップマネジメントはISMSがJIS Q 27001:2014の要求事項に適合する事を確実にし、ISMSのパフォーマンスをトップマネジメントに報告する責任及び権限を割り当てねばならない。そのような責任と権限を保証する具体的な組織体制をJIS Q 27001:2014は明示していないが、JIPDECは一例として、ISMSに関して中心的な役割を担う情報セキュリティ委員会を組織内に設置を推奨している。情報セキュリティ委員会の役割は例えばリスクマネジメントの環境整備、ISMS関連文書の決定、施策の検討と改訂、発生したセキュリティ問題の検討、ISMS運用の評価結果に基づいた改善といった事を行う事である。JIPDECはその他にも情報セキュリティ委員会に位置し、ISMSの構築・運用の実務や部署間の調停を担当する情報セキュリティ策定・運用チーム、専門家・外部コンサルタントの設置を推奨している。ISMSを実施する組織は、組織の能力に影響を与える内部および外部の課題や、ISMSに関連する利害関係者の情報セキュリティに関する要求事項、他の組織との依存関係などを特定し、これらをもとにしてISMSの適応範囲の境界線や適応可能性を決定する。こうした作業を行ったあと、トップマネジメントは、資産の情報セキュリティを担保するため、経営陣や管理者からなる管理層の承認のもと、情報セキュリティのための方針群を定める。これらの方針群の中で最も高いレベルに１つの情報セキュリティ方針を定めねばならない。情報セキュリティ方針はが含まれねばならず、以下を含むことが望ましいなお、JIS Q 27001:2006では上位概念のISMS基本方針と下位概念の情報セキュリティ基本方針の２つがあったがJIS Q 27001:2014ではこれらは情報セキュリティ方針として統合された。情報セキュリティ方針は情報セキュリティ目的もしくはそれを設定するための枠組みを含まねばならない。情報セキュリティ目的は情報セキュリティ方針との整合性や実行可能な場合の測定可能性が求められ、「適用される情報セキュリティ要求事項，並びにリスクアセスメント及びリスク対応の結果を考慮に入れる」必要がある。組織は，関連する部門及び階層において，情報セキュリティ目的を確立しなければならない情報セキュリティの方針群の構成に関して特に決まりはないが、IPAによれば一般的に以下のような３段階の階層構造なっている事が多い：上記３つのうち最初の２つ、もしくは３つすべてを情報セキュリティポリシーと呼ぶ。一方JIPDECの情報セキュリティポリシーのサンプルでは以下の５段構成で、最初の３つを情報セキュリティポリシーと呼んでいる。JIS Q 27001:2014におけるISMSにおけるリスクマネジメントはJIS Q 31000:2010(ISO 31000:2009)およびJIS Q 0073:2010(ISO Guide73:2009)との整合性が図られているので、本説ではこれらの資料も参考にリスクマネジメントを説明する。リスクマネジメント（risk management）とは、リスクについて，組織を指揮統制するための調整された活動であり、これを取り扱うリスクマネジメントの枠組み（risk management framework）は組織全体にわたって，の４つを順に行いつつリスクを運用管理するための方針，目的，指令，コミットメントなどの基盤組織内の取決めを提供する構成要素の集合体を指す。その基盤としてリスクを運用管理するための方針，目的，指令，コミットメントなどが含まれる。上述の「リスクマネジメントの実践」では、リスクマネジメントプロセス（risk management process）が行われる。具体的にはのサイクルを回し、適時関係者間で必要なコミュニケーション（リスクコミュニケーション）を取る。リスクマネジメントプロセスの中核となるリスクアセスメント（risk assessment）は以下の３つの作業からなる。ISMSでは特に情報セキュリティリスクアセスメントに関する指針を定めている。そこで定められている作業は前述の３つを含む以下の９つに分類できる：リスクアセスメントの取組方法の定義、リスク特定、リスク分析、リスク評価、リスク対応、管理策の決定、適応宣言書の作成、情報セキュリティリスク計画書の作成、残留リスクの承認。「リスクアセスメントの取組方法の定義」では、リスク基準を策定し、情報セキュリティリスクアセスメントの一貫性、妥当性、比較可能性を保証するためのプロセスを定めて文書化する。リスク基準は以下の２つを含まねばならない：「リスク特定」ではリスクの特定とそのリスク所有者の特定をする必要がある。そのために、資産の洗い出しを行う事で資産目録を作成し、各資産の管理責任者を特定し、各資産の脅威と脆弱性の明確化を行う事が望まれる。「リスク分析」ではリスクの起こりやすさと起こった場合の結果を分析し、これらに応じてリスクレベルを決定する。「リスク評価」ではリスク分析結果とリスク基準を比較し、リスク対応のための優先付けを行う。JIPDECではリスクレベルとリスク受容基準を数値化した上で両者を比較する方法を例示している。「リスク対応」ではリスク受容基準を満たすリスクはリスクを受容するという意思決定（リスク受容）を行った上でリスク保有する。それ以外のリスクに関してはリスク対応の選択肢を選定する。リスク対応の選択肢としてJIPDECは、リスクを減らすリスク低減を行うか、リスクに関係する業務や資産を廃止・廃棄する事でリスク回避、契約などで他社とリスクを共有するリスク共有、および事業上の利益を優先してあえてリスクを取るまたは増加させるリスク・テイキングを例示し、リスク共有の方法として資産やセキュリティ対策をアウトソーシングする方法と保険などを利用するリスクファイナンスを例示している。「管理策の決定」ではリスク対応で選んだ選択肢に応じてリスクを修正(modify)する対策である管理策（（リスク）コントロールとも）を決定する。管理策の具体的な方法はJIS Q 27001:2014の附属書Ａに記載されているが、そこに記載されていない管理策を選択してもよい。「適用宣言書の作成」では必要な管理策およびそれらの管理策を含めた理由を記載した適用宣言書を作成する。「情報セキュリティリスク計画書の作成」では情報セキュリティリスク計画を立てる。JIPDECは情報セキュリティリスク計画としてリスク低減や管理策の実装に関する実行計画を立案し情報セキュリティリスク計画書にまとめる事を推奨している。「残留リスクの承認」では情報セキュリティリスク対応計画と受容リスクに関してリスク所有者の承認を得る。ISMSにおいて参照されることの多いISO/IEC TR 13335-3（JIS TR X 0036-3:2001に対応。有効期限切れ）、およびそれを引き継いだISO/IEC 27005では、以下の4種類のリスク分析方法を定義している：上述の方法を複数組み合わせたものを組み合わせアプローチという。BSI（英国規格協会）によって1995年に規定された英国規格 BS 7799が基となって、ISMSの構築のしかたの標準化が進んだ。BS 7799は、Part 1 (BS 7799-1) とPart 2 (BS 7799-2) の2部構成になった。Part 1には情報セキュリティ管理を実施するに際しての規約の標準が、Part 2にはISMSの認定の基準となる要求仕様が書かれていた。日本の「ISMS認証基準」はPart 2を基に策定された（これは現在 JIS Q 27001 になっている）。BS 7799は、国際規格になった。BS 7799-1は、2000年にISO/IEC 17799となり、2007年にはISO/IEC 27002:2005と改称された。BS 7799-2も、2005年にISO/IEC 27001となっている。それらは翻訳されて、日本工業規格にもなっている。2006年に、ISO/IEC 27001はJIS Q 27001として、ISO/IEC 27002はJIS Q 27002として策定された。これらのほかにも、関連する規格として ISO/IEC 27000, 27003～27006, 27011 があり、さらにいくつかの部が準備中である（ISO/IEC 27000 シリーズ）。情報処理サービス業に対し、コンピュータシステムの安全対策が十分かどうかを認定する制度として、旧通商産業省の「情報システム安全対策実施事業所認定制度」（以下、安対制度という）があった。安対制度では主に施設・設備等の物理的な対策に重点がおかれ、対象業種はデータセンターをもった情報処理業であった。安対制度は、2000年7月に通商産業省から公表された「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革」に基づき、（財）日本情報処理開発協会 (JIPDEC) で開始した民間主導による第三者認証制度であった。以下の理由により、安対制度はISMS認証基準へと発展的に解消されている。

出典:wikipedia