セキュリティの問題に対する個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスク評価により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することです。


組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することにあります。



このサイクルを継続的に繰り返し、情報セキュリティレベル の向上を図ります。



英国で生まれたISMS の規格が世界的な標準規格となり、日本の ISMS 基準はそれらを基に規格されています。
2006年より、ISMSはISO化されてISO27001となります。