ＩＳＭＳ（情報セキュリティマネジメントシステム）の概要

ＩＳＭＳ（Information Security Management System：情報セキュリティマネジメントシステム）とは、情報セキュリティ対策を経営管理活動の一環として、経営者のリーダーシップにより、全社的な・継続的な活動として取り組むことです（注）。
　ISO/IEC27001（JIS Q 27001）では、次のように定義しています。
　「マネジメントシステム全体の中で、事業リスクに対する取組み方に基づいて、情報セキュリティの確立、導入、運用、監視、レビュー、維持及び改善を担う部分。
　注：マネジメントシステムには、組織の構造、方針、計画作成活動、責任、実践、手順、プロセス及び経営資源が含まれる。」

（注）情報セキュリティマネジメントの主要対象は、情報システムへのリスクです。そのため、情報セキュリティマネジメントはリスクマネジメントの一環として認識されるべきです。なお、経営者のなかでリスクマネジメントを担当する最高責任者をＣＲＯ（Chief Risk Officer）といいます。

ＩＳＭＳの導入・運用は、次の手順で行われます。
　　・導入・推進のための組織体制の確立
　　・セキュリティポリシー（基本方針）の策定
　　・リスク分析の実施
　　・対策基準・実施基準の策定と周知
　　・実践活動とモニタリング
　そして、ＰＤＣＡサイクルにより継続的な改善活動を行うことにより、情報セキュリティの成熟度を高めることが必要です。

ＩＳＭＳの評価基準は、ＩＳＯやＪＩＳの規格になっており、第三者機関が審査する制度もあります。
　ＩＳＯ・ＪＩＳの規格には、
　　ISO/IEC27001（JIS Q 27001）ＩＳＭＳの要求事項
　　ISO/IEC27002（JIS Q 27002）ＩＳＭＳの実践規範
があります。「ＩＳＭＳを実践している」ことを評価する項目が要求事項で、それを実現するためのポイントを示したのが実践規範です。
　そして、実際にＩＳＭＳが実践されているかを第三者が評価する制度に、
　　情報セキュリティ監査制度
　　ＩＳＭＳ適合性認証制度
があります。

自社の情報セキュリティマネジメントのレベルについて認識することは、ＩＳＭＳのような大々的な対策をする以前にも重要ですし、ＩＳＭＳを推進途中でも自己チェックするにも重要です。
　ＩＰＡでは、「情報セキュリティ対策自己診断テスト」（ https://www.ipa.go.jp/security/benchmark/index.html）を提供しています。数十個の設問に回答すると、自社のレベルとベンチマークが得られます。