そもそもISMAPとは
ISMAP「政府情報システムのためのセキュリティ評価制度」は2018年より方針が検討され、2020年6月から運用が開始された政府のクラウドサービス調達におけるセキュリティ水準です。政府がクラウドサービスを導入するためには政府が求めるセキュリティ要件を満たしている必要があります。具体的には本制度において登録されたサービスから調達することが原則となります。
制度所管省庁は経済産業省、総務省、デジタル庁となります。
ISMAPへ登録するためにはどうすればいいか
「ISMAPクラウドサービスリスト」へ自社のクラウドサービスを登録する必要があります。制度が求める手続きに従って言明書、経営者確認書などを運用期なんであるIPAに提出して審査を受ける必要があります。
またセキュリティ監査を受け、その結果報告書も合わせて提出する必要があります。
ISMAPクラウドサービスリストは3ヶ月ごとに更新されます。
この制度は政府が利用するクラウドサービスについてのセキュリティ基準にですが、重要産業分野をはじめとした民間においても参照することでクラウドの適切な活用が推進されることを期待されています。
一度登録したらそれでずっと資格は継続できるのか
登録を維持するためには年次で更新登録申請が必要になります。
ISMAPの構成
ISMAPは基本規定を中心に複数の規定と基準で構成されています。
主な規程と基準は以下の通りです。
・基本規定:遵守すべき基本的状況をまとめた文書
・クラウドサービス登録規則:ISMAP基本規定に基づき、クラウドサービスの登録申請にはどのような状況、手続きがあるのかまとめた文書
・管理基準:セキュリティに関する要求事項をまとめた文書。ガバナンス/マネジメント/管理策基準に分かれている
・監査基準ガイドライン:監査機関が準拠すべきガイドライン
・標準監査手続:監査業務に従事するものが準拠すべき手続や手法をまとめた文書
ISMAP管理基準の構成とは
3つに分かれています。
・ガバナンス基準:情報セキュリティにおける経営陣と管理者層の管理体制を定めた基準
・マネジメント基準:情報セキュリティマネジメントを実行するために必要な統制を含めた基準
・管理策基準:具体的なセキュリティ管理策を定めた基準
出所:政府情報システムのためのセキュリティ評価制度(ISMAP)基本規定より.
同監査基準ガイドラインより
同クラウドサービス登録規則より
政府情報システムのためのセキュリティ評価制度(ISMAP)について(内閣官房・総務省・経済産業省)