ISO27001において情報セキュリティマネジメントシステム(ISMS)は、「マネジメントシステム全体の中で、事業リスクに対する取り組み方に基づいて、情報セキュリティの確立、導入、運用、監視、見直し、維持および改善(PDCA)を担う部分マネジメントシステムには、組織の構造、方針、計画作成活動、責任、実践、手順、プロセス及び経営資源が含まれる」と定義されています。
つまり、事業リスクに対してPDCAを回しより高度な情報セキュリティ体制の構築をめざす活動は、企業の存続発展の必須条件となり、経営戦略の1つとして情報セキュリティマネジメントシステム(ISMS)の検討・構築・導入を行う必要があります。