組織が行う活動を、個々の業務や人、物、金などの経営資源単位別に考えるのではなく、組織内においてプロセスを明確にし、その相互関係を把握し、運営管理することとあわせて、一連のシステムとして適用することをいいます。
多くのマネジメントシステムで効果的な手法として知られており、「期待」、「目標」、「要件」などを明確にし、それらを満足させるためにPDCAを行います。
セキュリティ対策は、一度行ったら終わりというものではなく、セキュリティ環境の変化に合わせて絶えず、見直しと改善が求められます。そこで、PDCAサイクルを繰り返すことにより、組織のセキュリティ対策における目標達成レベルを継続的に維持改善しています。
組織が強固な情報セキュリティを構築するためには、さまざまなプロセスを組み合わせて実践します。
したがって、ISMSをプロセスアプローチの視点からみると、組織のセキュリティに関わるプロセスを明らかにし、個々のプロセスを適切に運用管理して、セキュリティの品質を高めることになります。
ISMSを確立、導入、運用、監視、レビュー維持、改善する為の効果的な手法としてプロセスアプローチが奨励されています。