組織の情報資産を把握し、経営としてその資産を守っていくための仕組み
ITの高度化により、これまであまり重要視されてこなかった組織内部の情報を守るという考え方が特に21世紀には行って注目されるようになりました。インターネット上に存在するコンピュータウイルスの巧妙化、企業サイトの改ざん、ハードウェア、ソフトウェアのトラブルや内部者による情報の漏洩などがマスコミで取りざたされることも珍しくなく、その原因も高度化、複雑化を極めるばかりとなっていました。
そこで情報セキュリティはコンピュータや、そのシステムの問題だけでなく、組織内部の情報資産をしっかりと把握し、経営としてその資産を守っていくための仕組みを持つことが重要と考えられるようになりました。
ISMS(情報セキュリティマネジメントシステム)は、個別の問題ごとの技術対策だけでなく、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、計画を耐え、資源を分配して、システムを運用することであると定義されるようになりました。
英国では1995年に英国規格であるBS7799が発行されており、1999年にはその規格の改定に伴い、情報セキュリティマネジメントの認証対象規格とセキュリティの詳細管理策がBS7799 Part2として発行されました。
これを受けて日本国内でもこの規格による認証が開始されましたが、時を同じくして情報システム安全対策実施制度から情報セキュリティマネジメントシステム認証制度への移行が実施されつつありました。
2001年には日本情報処理開発協会(JIPDEC)がISMS認証制度を立ち上げ、BS7799 Part2を参考にして独自の認証基準(ISMS認証基準)による認定が開始されました。また、BS7799規格は2005年10月にISO27001へと国際規格化されています。