SUMMARY
ISMAPの概要信頼できる高品質のクラウドサービスと判断されるために
ISMAP(イスマップ)は、内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営する、政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)の通称です。 2018年6月に、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を定め、政府情報システムを整備する際には、クラウドサービスを第一候補とする、「クラウド・バイ・デフォルト原則」が示されました。その一方で、諸外国と比較した場合、日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在しておらず、評価・認定制度を検討することになりました。
ISMAPは、政府の求めるセキュリティ要求を満たしたクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。本制度により、各政府機関等が、一定の情報セキュリティ対策の実施が確認されたクラウドサービスを効率的に調達可能とすることが期待されています。
2021年6月以降はISMAP運用の監査対応が必須となるため、運用実績を示すために整備状況監査後の1年間、監査待ちをすることとなります。 すでに貴社のクラウドサービスが政府によって導入されている場合は、2021年9月末までに登録申請が必要となります。また、今後政府機関へのクラウドサービスを導入予定の場合にも利用開始から1年以内に登録申請が必要です。
さらに、ISMAP登録簿は一般に公開されるので政府情報システムの調達のみならず、地方公共団体や民間企業がクラウドサービスを選定する場面においても活用される可能性があります。ISMAP登録簿にクラウドサービスが登録されることは数兆円規模に達する国内クラウド市場に参入する上で重要な要素となり得まる現状です。
インターネットプライバシー研究所では、ISMAP取得を予定しているお客様に対し各種ISMAPコンサルティングサービスをおこなっています。ご支援内容についてはお客様によりカスタマイズした内容となりますので、必要なご支援のみをご提供可能です。
SOLUTION
企業が直面する課題と解決課題
1300項目を超える「管理策基準」への対応
ISMAP登録の為に満たさなければならないルールや管理体制がまとめられた1300項目以上の設問に対応するには、管理策の解釈など専門的な知識が必要とされています。
解決
適切な基準・ガイドラインに沿った外部監査を実施
登録においての適用範囲や要求事項・管理策の解釈を当社のコンサルタントが具体的にアドバイスします。外部の独立した立場から、お客様の情報セキュリティ対策状況やシステムの運用状況を、適切な基準・ガイドラインを指標に評価し、改善策をご提案します。
FEATURE
サービスの特徴1300項目以上のISMAP管理基準対応へのアドバイス
当社ではISMAP登録申請・登録審査の開始に先駆け、ISMAP登録支援のコンサルティングをおこなっております。上記にも記載したように、ISMAP登録にあたってはISO/IEC 27017認証やCSマーク認証よりも遥かに多い1300項目以上の管理策が要求されます。当社のセキュリティコンサルティングの実績と専門的な知見を生かし、これらの要求事項への対応を具体的にアドバイスをおこないISMAP登録のサポートをします。
これまでの支援実績や、ISMAPに関するご相談はお問い合わせフォームよりご連絡下さい。
FLOW
サービスの流れセキュリティ体制の安全面を高めながら、ISMAP登録まで丁寧にサポート
- 1.リスクアセスメント(4~5ヶ月目)
- 当社のコンサルタントがお客様の現状をヒアリングします。
情報資産を特定し残存リスクを洗い出しをおこない、課題となるリスクにどう対応するかを設計した管理策とのGap分析をおこないます。 - 2.ISMAP基準への対応(6~7ヶ月目)
- ISMAPの管理基準はJIS Q(ISO/IEC)27001、27002、27014、27017などのISO27000シリーズなど複数のガイドラインを参照、組み合わせをして構成されています。管理基準は 「ガバナンス基準」「マネジメント基準」「管理策基準」の3つで構成されています。「経営陣」「管理者」「実務実施者」の方々がこれらへの対応を求められます。
管理基準の項目数は、ガバナンス基準が18問、マネジメント基準が85問、管理策基準が1095問と多く、これらの設問への対応をサポートをします。 - 3.外部監査の実施(8ヶ月目〜)
- 外部監査時には安心して監査を受けられるよう事前チェックをおこないます。
監査後の指摘に対する改善対応のサポートをします。 - 4.ISMAPクラウドサービスリストへの登録
- お客様に登録申請書類を作成いただきます。その際に必要な書類の準備、内容のチェックといった支援をおこないます。
- ISMAPクラウドサービスリストへの登録完了(ISMAP認定)
- ※支援内容により上記期間と異なる場合がございます。
サービスに関するお問い合わせは、下記の【お問い合わせフォーム】よりお気軽にお送りください。 ISMAP支援に関するご質問・ご相談・お見積もりは無料です。