情報セキュリティマネジメントシステム（じょうほうセキュリティマネジメントシステム、ISMS: Information Security Management System）は、組織における情報資産のセキュリティを管理するための枠組み。情報セキュリティマネジメントとは、ISMSを策定し、実施すること。[1]

ISMSの目標は、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える[2][3]ことにある。

ISMSの標準がISO 27001およびそれと同等なJIS Q 27001に規定されているので、本稿では2016年現在におけるこれらの標準の最新版であるISO/IEC 27001:2013（JIS Q 27001:2014と同等）を基に、ISMSを説明する。
ISOにおける位置づけ

ISMSを規定したISO/IEC 27001:2013は、ISOのさまざまなマネジメントシステム規格(MSS Management System Standard)の一つであり[4]、MSSの共通化を図った附属書SL[5]に沿って規格化されている。これにより、品質、環境、ITサービス、事業継続のマネジメントシステムを規定したQMS、EMS、ITSMS、BCMSとの整合性が図られている[4]。

また、2013年の改定以降、リスクマネジメントの国際規格であるISO 31000:2009（JIS Q 31000:2010）との整合性も図られている[4]。

ISO/IEC JTC 1 （情報技術）の SC27委員会 （セキュリティ技術副委員会）には、情報セキュリティのためのマネジメントシステム規格の開発を担当する作業グループがあり、そこでISMSの構築のしかたと認定の基準を審議して国際規格 ISO/IEC 27001になり、その翻訳が日本産業規格 (JIS) になっている。SC27は、ISMS関連の国際規格を他にもいくつか標準化しており、それらの規格は、ISMS ファミリ規格と呼ばれる（ファミリ規格の詳細はJIS Q 27000 箇条 0.2 を参照）。
全般に関わる用語

本節ではISMS全般を理解する上で必要となる用語を解説する。
リスク

リスクとは、「目的に対する不確かさの影響」[6]を指し、情報セキュリティリスクは、「脅威が情報資産のぜい弱性又は情報資産グループのぜい弱性に付け込み、その結果、組織に損害を与える可能性に伴って生じる[7]。なお、ISMS の文脈においては、情報セキュリティリスクは、「情報セキュリティの目的に対する不確かさの影響」と表現することがある[7]。

なお、情報資産は、ISOの原文では「資産」(asset)だが、誤解を招かぬようJISでは「情報資産」としている[8]

リスクを起こす潜在的要因をリスク源といい[9]、その典型例として脅威と脆弱性がある[10]。

脅威（threat）とは、「システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因」を指し[11]、脅威は人為的脅威と環境的脅威に分類でき、人為的脅威はさらに意図的脅威(deliberate threat)と偶発的脅威(accidental threat)に分類できる[12]。

脆弱性（vulnerability)とは、一つ以上の脅威によって付け込まれる可能性のある資産または管理策（後述）の弱点を指す[13]。

ISMSでは、各リスクに対しリスクレベルというリスクの大きさを割り振る。リスクレベルはリスクの起こりやすさと起こった場合の結果によって決定する[14]。リスクレベルの決定法としてJIPDECは資産価値、脅威、脆弱性を数値化し、リスクレベル＝資産価値×脅威×脆弱性

として算出する方法を例示している。

経済的な理由などにより、既知のリスクをすべて取り除くことが現実的でないこともあるので、ISMSでは組織が受容可能なリスクの水準を定め、リスク保有する事を許容している[15][14][16]。
情報セキュリティインシデント

情報セキュリティ事象（information security event）とは、情報セキュリティ方針への違反若しくは管理策の不具合の可能性，又はセキュリティに関係し得る未知の状況を示す，システム，サービス又はネットワークの状態に関連する事象のことである[17]。

情報セキュリティインシデント（information security incident）は、望まない単独若しくは一連の情報セキュリティ事象，又は予期しない単独若しくは一連の情報セキュリティ事象であって，事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの[18]。

情報セキュリティインシデント管理（information security incident management）情報セキュリティインシデントを検出し，報告し，評価し，応対し，対処し，更にそこから学習するためのプロセス[19]。

継続した情報セキュリティの運用を確実にするためのプロセスを情報セキュリティ継続（information security continuity）[20]という。
実施事項、組織体制、方針
実施事項

ISMSを行う組織には以下が求められる：

ISMSに関する方針を定め[21]、要求事項を満たすことや継続的改善へのコミットメントを実証する[21]。

リスクマネジメントなどISMSに関する計画を策定する[22]。

必要な資源や力量を確保する[23]。

策定した計画を運用する[24]。

ISMSの実施に関するパフォーマンスと有効性を評価する[25]。

不適合が発生した場合に是正措置を行い、ISMSを継続的に改善する[26]。