1.ISMSとは
ISMS(Information Security Management System)とは、言葉の通り、情報セキュリティのマネジメントシステムである。セキュリティ対策というのは単にFirewallを導入すれば良いという単純なものではない。PDCAサイクルでマネジメントし、効果的かつ継続的なセキュリティ対策を運用することが求められる。
別途述べるISO/IEC15408が技術面のセキュリティを考慮しているのに対し、ISMSでは運用面も含んだ組織的な対策の枠組みである。

参考URL
第2回 認証取得のためのISMSガイド
http://www.atmarkit.co.jp/fsecurity/rensai/guide02/guide01a.html
日本情報処理開発協会(JIPDEC) ジップデックと読む
ISMS適合性評価制度
http://www.isms.jipdec.jp/isms.html
認定基準も参考になる。

2.ISMSのプロセス
ISMSのプロセスはPDCAのマネジメントサイクルで考える。
以下のURLも参照いただきたい。
http://www.ipa.go.jp/security/manager/protect/pdca/index.html

Plan:ISMSの確立
 セキュリティ対策として、どんな人的、物理的、技術的対策を実施するかを確立する。
 
Do:ISMSの導入及び運用
 上記の対策を実行に移す。暗号化や認証システムを導入したり、運用ルールを策定したり、教育をしたりする。
 
Check:ISMSの監視及びレビュー
 日々または定期的な監査などによるセキュリティチェックを行い、セキュリティが守られているかを確認する。
 
Act:ISMSの維持及び改善
 万が一、セキュリティ事故が発生するような場合は、社員の再教育をするなり、別の対策を検討し、セキュリティが適切に保たれるよう改善する。

以下の問題を解いてみよう。
問38 ISMSプロセスのPDCAモデルにおいて、PLANで実施するものはどれか。
ア 運用状況の管理
イ 改善策の実施
ウ 実施状況に対するレビュー
エ 情報資産のリスクアセスメント
(H19SU 午前問題 問38より)
情報セキュリティスペシャリスト試験を目指す女性SE


こういう問題は、すべての選択肢を理解することが勉強になりますね。
その通り。
PDCAの順に並べると以下になる。
・Plan:情報資産のリスクアセスメント(エ)
・Do:運用状況の管理(ア)
・Check:実施状況に対するレビュー(ウ)
・Act:改善策の実施(イ)