情報セキュリティとは、機密性・完全性・可用性を維持して改善し続けることです。

組織が保護すべき情報資産について機密性・完全性・可用性（CIA）をバランスよく維持し改善すること。

• 機密性（Confidentiality）：アクセスを認可された者だけが情報に確実にアクセスできること
• 完全性（Integrity）：情報資産が完全な状態で保存され、内容が正確であること
• 可用性（Availability）：情報資産が必要になったとき、利用できる状態にあること

www.dqs-japan.jp

リスクアセスメントとは、リスクを洗い出して撲滅したり低減させていくことです。

IT世界だけのことではありません。

リスクアセスメントは、職場の潜在的な危険性又は有害性を見つけ出し、これを除去、低減するため手法です。
中災防：リスクアセスメントとは なぜリスクアセスメントが必要か

www.kensaibou.or.jp

anzeninfo.mhlw.go.jp

ISMS認証基準には、実施状況の確認や見直しについても定められています。

■第３ ISMS の要求事項
(２)マネジメント枠組みの確立
　各項目について、定期的もしくは必要に応じて見直しすること。
(３)管理策の実施
　管理策を講ずるために採用された手続きについて、第 4 10（2）に従いその有効性を確認すること。
(５)文書管理
　(ｱ) ISMS 文書の利用者が文書を容易に利用することができる
　(ｲ) ISMS文書の定期的な見直しを行い、情報セキュリティポリシーに対する準拠性を維持しながら必要に応じて改訂する
　(ｴ) ISMSを運用するために必要なすべての事業所等において ISMS文書が閲覧可能である
■第４ 詳細管理策
(２)セキュリティポリシー遵守状況の確認
　① すべての手続きが情報セキュリティポリシーに準拠して実行されていることを定期的に見直すこと。
　② 情報システムが情報セキュリティポリシー及び関連する対策基準や手順書等に準拠していることを定期的に確認すること。

https://isms.jp/doc/ismsreq08.pdf

ISMSの基になっている規格は、国際版がISO/IEC 17799で日本版はJIS X5080です。

これらは異なる2つの基準ではなく、英国規格である「BS7799」という規格を基に策定されており、ISO化された（国際基準化された）ものがISO/IEC17799である。そしてISO/IEC17799が日本語に翻訳され、日本工業規格（JIS化）として策定されたものが、JIS X5080である。
ISMSの基盤となるISO/IEC 17799とJIS X5080：情報セキュリティマネジメントシステム基礎講座（1） - ＠IT