SERVICE
ISMAP(イスマップ)は、内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営する、政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)の通称です。
2018年6月に、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を定め、政府情報システムを整備する際には、クラウドサービスを第一候補とする、「クラウド・バイ・デフォルト原則」が示されました。その一方で、諸外国と比較した場合、日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在しておらず、評価・認定制度を検討することになりました。
ISMAPは、政府の求めるセキュリティ要求を満たしたクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。本制度により、各政府機関等が、一定の情報セキュリティ対策の実施が確認されたクラウドサービスを効率的に調達可能とすることが期待されています。
ISMAPの管理基準はJIS Q(ISO/IEC)27001、27002、27014、27017などのISO27000シリーズなど複数のガイドラインを参照、組み合わせをして構成されています。
管理基準は 「ガバナンス基準」「マネジメント基準」「管理策基準」の3つで構成されており、「経営陣」「管理者」「実務実施者」でこれらに対応することを求めています。そして、最大の特徴は1000項目以上ある「管理策基準」です。管理策基準とはCSPがISMAP登録の為に満たさなければならないルールや管理体制がまとめられた設問のことを指します。管理基準の項目数は、ガバナンス基準が18問、マネジメント基準が85問、管理策基準が1095問となっており、管理策基準の設問数が多いことがわかります。
1000項目以上ISMAP管理基準への対応をサポート支援します
2021年6月以降はISMAP運用の監査対応が必須となるため、運用実績を示すために整備状況監査後の1年間、監査待ちをすることとなります。
すでに貴社のクラウドサービスが政府によって導入されている場合は、2021年9月末までに登録申請が必要となります。また、今後政府機関へのクラウドサービスを導入予定の場合にも利用開始から1年以内に登録申請が必要です。
さらに、ISMAP登録簿は一般に公開されるので政府情報システムの調達のみならず、地方公共団体や民間企業がクラウドサービスを選定する場面においても活用される可能性があります。ISMAP登録簿にクラウドサービスが登録されることは数兆円規模に達する国内クラウド市場に参入する上で重要な要素となり得まる現状です。
当社ではISMAP登録申請・登録審査の開始に先駆け、ISMAP登録支援のコンサルティングを行っております。
ISO/IEC 27017認証やCSマーク認証より遥かに多い、1000項目以上の管理策が要求されるため、ISMAP登録にはさらに専門的な知識が必要とされています。登録においての適用範囲や要求事項・、管理策の解釈など当社のセキュリティコンサルティングの実績を生かし具体的にアドバイス致します。