「情報セキュリティ」とは、情報を以下の３つの側面で保護することをいいます。
•機密性 ：例．重要な情報等がアクセス権のない人物によって閲覧されることがないこと。
•完全性： 例．アクセスし、利用する情報が完全であること。また、処理した情報が正確であること。
•可用性 ：例．必要な時に情報にアクセス及び利用できること。


組織の情報セキュリティを維持するための仕組みとして、1995年に情報セキュリティマネジメ ントシステム（以下、「ISMS」という）が、BS7799という英国規格にまとめられました。この規格は、2002年に 品質マネジメントシステムや環境マネジメントシステムの仕組みと整合性がとられた後（BS7799-2:2002）、 2005年10月に「ISO/IEC27001:2005」という国際規格になり、ISO/IEC27001:2013が最新規格となります。

情報は、事業を運営するために必須の資産であり、ツールでもあります。しかし、組織の情報に、脅威および脅威を誘引する情報管理の脆弱性からリスクが発生した場合、顧客情報の漏えいや不正アクセスにより、組織のみならず、株主や顧客、取引先などにも影響を与えてしまいます。組織の一部分だけに頼らず、組織全体で情報セキュリティを維持することは、非常に重要な経営課題です。

「ISO/IEC 27001:2013」の認証を取得することによりこのような経営課題を解決していくことができます。

規格の文書化	情報セキュリティ基本方針の策定 適用宣言書の策定 各種規程類の策定
リスクアセスメントの実施	資産の洗い出し リスクの分析および評価 管理目的および管理策の選択
リスク対応計画の実施	リスク対応計画の策定・実施・進捗管理
教育及び訓練の実施	情報セキュリティ教育・内部監査員養成教育の実施 教育の効果の確認 BCPの訓練の実施およびフィードバック
内部監査の実施	監査計画の策定 監査の実施 監査結果の是正および予防処置の実施 監査のフォローアップ活動の実施
管理策および管理策一式の有効性の評価
ISMSの有効性の評価
マネジメントレビューの実施	マネジメントレビューへのインプットおよびアウトプット マネジメントレビューの記録の策定
改善活動の実施	是正および予防処置の実施 予防処置を実施した場合、リスクの変化の識別 情報セキュリティインシデントへの対応

認証申請をされてから、次のような段階を経て、「ISO/IEC 27001:2013」の認証を取得することができます。