ISO/IEC27001(ISMS認証)とは、情報セキュリティに関する国際規格の1つで、「情報セキュリティマネジメントシステム(ISMS : Information Security Management System)」とも呼ばれています。個別のセキュリティ対策の他に、マネジメントが組織自らのリスクアセスメントを行い、必要なセキュリティレベルを決め、PDCAサイクルにてシステムを運用する、国際的に整合性のとれた情報セキュリティマネジメントに対する第三者適合性評価制度です。組織の資産を特定し、それらの資産が持つリスクを洗い出し、リスクを軽減する対策を行うことによって、組織のセキュリティを高めます。
ISMS認証相関図(利害関係者)を対象とする組織の資産範囲は、情報資産・ソフトウェア資産・物理的資産・サービス資産・人的資産・無形資産・営業ノウハウ等と幅広く、プライバシー、機密、情報技術におけるセキュリティ問題などをカバーしており、あらゆる規模と形態の組織に適用可能な規格です。
ISMS(ISO/IEC 27001)ではリスクをゼロにすることは求められませんが、組織として許容できる範囲のリスクかどうかの判断を経営陣が行ったうえで、限度以上のリスクについて許容範囲までのリスク軽減の対策を、情報セキュリティの3大要素、機密性・完全性・可用性(CIA)とのバランスを維持しつつ改善し、それが実行されているのを管理することが可能となります。