ISMS

情報セキュリティ対策を「思いついた施策の寄せ集め」でなく組織の継続的な仕組みとして回すには、何を基準にすればよいのか。その国際的な枠組みがISMSであり、規格ISO/IEC 27001として体系化されている。守るべき情報資産を洗い出し、リスクを評価し、必要な管理策を選んで運用し、点検して改善するというPDCAのサイクルを組織に根づかせる。

ここで中心となるのが、情報の機密性（許可された者だけが見られる）・完全性（改ざんされていない）・可用性（必要なときに使える）という3要素である。ISMSはこの3要素を維持する目標を立て、技術的対策だけでなく人的・組織的・物理的な対策までを一つのマネジメントとして束ねる点に特徴がある。

自治体では、情報セキュリティポリシーがこのISMSの考え方を土台に組まれていることが多い。第三者認証であるISMS認証（ISO/IEC 27001認証）を取得する団体や外郭団体もあり、委託先の選定基準として認証取得を求める場面もある。ポリシー策定や監査の根拠を遡ると、しばしばこの規格に行き着く。