2018年6月、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」にて、クラウドサービスの利用を第一候補として検討する、クラウド・バイ・デフォルト原則が採用されました。この原則を実現するために、政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:通称、ISMAP(イスマップ))が2020年5月に制定されました。
ISMAPは、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
あずさ監査法人は、ISMAP監査機関リストに登録された監査機関として、ISMAP情報セキュリティ監査ガイドラインに基づき、クラウドサービス事業者が作成した言明書に記載の個別管理策の整備・運用状況の評価を標準監査手続に従い実施します。
ISMAP登録のための流れ
クラウドサービス事業者は、制度が提示しているISMAP管理基準に従い、自身のクラウドサービスの状況を個別管理策として言明書に記載します。
その後、登録された監査機関にISMAP情報セキュリティ監査(以降、ISMAP本監査)を依頼し、監査機関によるISMAP情報セキュリティ監査ガイドラインに基づいた監査を受ける必要があります。
監査機関から監査結果をまとめた実施結果報告書を入手後、クラウドサービス事業者からISMAP運営委員会に申請を行い、ISMAP運営委員会による適合状況審査に通ると、ISMAPクラウドサービスリストに登録されます。
ISMAP管理基準
ISMAP管理監査は大きく3種類の基準で構成されています。
| 基準 | 説明 | 項目数 |
|---|---|---|
| ガバナンス基準 | 経営陣が、管理者層に対してセキュリティに関する意思決定や指示等を継続的に実施していることを確認 | 18 |
| マネジメント基準 | 管理者が、的確にマネジメントを実施していることを確認 | 64 |
| 管理策基準 | 業務実施者が、クラウドサービスにセキュリティ対策を適用していることを確認 | 1077 |
提供サービス
あずさ監査法人では、以下の3つのサービスを提供しています。ISMAP登録を検討されている場合には、ぜひお問合せください。
- ISMAP本監査サービス
- ISMAP-LIU本監査サービス
- 事前診断
