↑
情報資産を保護するために、リスクマネジメントが有効に行われているかを判断するための基準のこと。システム開発時に、管理・技術の両面で組織における情報セキュリティを確保するための対策を提供することを目的としている。