■ISMSの内容と構成（BS7799／ISO27001との関係）
国際標準であるISO20000と同等の認証を与えられているBS15000の「情報セキュリティ」分野を補足するBS7799は、2つの分野で構成されている。Part1は、情報セキュリティマネジメント実践規範からなり、ISO17799を生み、Part2は、情報セキュリティマネジメントシステムの仕様からなり、ISO27001（認証基準）を生みだした。この流れが、ISO27000を、シリーズ化に導いたのである。その内容は、27000がISMSの理念と用語、27002がISO17799を引き継いだ情報セキュリティ管理実施標準、27003がISMS導入ガイドライン、27004がISMS管理策の評価指標と測定、27005がISMSリスクマネジメントである。

日本国内規格であるISMS（情報セキュリティマネジメントシステム）認証基準は、ISO27000シリーズの各「内容」を構成するものである。ISO27001の認証を取得するには、このISMSを導入し、運用、管理、維持し、継続改善できるシステムをつくりあげることが前提になる。ISMSを導入するためには、まず情報管理マネジメントを下記の文書管理体系として位置付ける必要がある。

1　ポリシー・情報セキュリティ基本方針
2　基本規程・ISMSマニュアル
3　規程・規則
4　手順書・帳票類・契約書など

さらに、この「情報管理」運用のための方針とルールが作成され、具体的に運用していくことが必要とされる。そしてこの方針とルールでは、

1　経営陣の責任
2　経営資源の運用管理
3　教育・訓練・認識及び力量

を明確にし、経営責任者、内部監査人、システム管理担当者、事務局員、社員それぞれに、その専門能力をもつように訓練を義務づける。

ISMS文書の作成、ISMSを運用する知識、力量の習得をもって、施行運用を行い、その問題点の洗い出し、改善を経て、ISMSの定着が図られるのである。

■何のためのセキュリティ管理か？ISO27001の取得のメリット
Winny利用者による情報漏えいが、社会問題化している。組織内での「情報管理システム」「情報教育」の遅れが、事態の終息を遅らせているといってもよい。Winny問題のようなコンピューターウイルスによる情報漏洩だけではなく、スパイウェアによる情報漏洩えい、ハッカーによるシステム破壊、組織内外からの不正アクセス、人為的なデーター処理ミス、意図的なデーター改ざん、災害によるシステム崩壊など、IT時代の情報資産は、常に危険にさらされている。その被害の損害額は大変高額となりはじめた。そこで、ようやく情報資産を守るためのリスクマネジメントの本格的な取り組みが、始まったのである。
ISMSの導入は、そのような事態に対処すべく、まず社内での情報セキュリティ意識を高め、情報セキュリティ管理が対外的な信用を高めることを学ぶ第一歩となる。その目安は情報セキュリティの6つの目的、その「機密性」「完全性」「可用性」「真生性」「責任追跡性」「信頼性」を維持することにある。機密性はアクセス許可の可否である。完全性は情報の正確さ、完全さである。可用性はアクセス権保持者がきちんとアクセスすることができるかである。真生性は正当な記録者の責任の所在の明晰さである。さらに、責任追跡性はアクセス権保持者のアクセスログを基にしたユーザー行動追跡ができるかであり、信頼性は信頼ある計画に基づく動作、結果が信頼できるかを意味する。
情報セキュリティにこのような6つの目的を設定することは、

1　情報資産という目に見えにくい財産に対する社内意識が高まり、
2　情報セキュリティを維持するシステムが構築されることにより、情報リスクが低減され、
3　予想される事件・事故に対する被害を最小限にとどめ、不測の事態にも迅速に対処することができ、
4　社会的信用の向上、組織強化を得られ、新たなビジネスチャンスの礎を築くことができる

というメリットを生むはずである。したがって、ISMS導入は、ISO27001認証取得を前提とした情報セキュリティシステムを得ることにより、これら4つのメリットを得られるようにするためであるとも言える。