2018年6月、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」にて、クラウドサービスの利用を第一候補として検討する、クラウド・バイ・デフォルト原則が採用されました。この原則を実現するために、政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:通称、ISMAP(イスマップ))が2020年5月に制定されました。
ISMAPは、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
あずさ監査法人は、ISMAP監査機関リストに登録された監査機関として、ISMAP情報セキュリティ監査ガイドラインに基づき、クラウドサービス事業者が作成した言明書に記載の個別管理策の整備・運用状況の評価を標準監査手続に従い実施します。
クラウドサービス事業者は、制度が提示しているISMAP管理基準に従い、自身のクラウドサービスの状況を個別管理策として言明書に記載します。
その後、登録された監査機関にISMAP情報セキュリティ監査(以降、ISMAP本監査)を依頼し、監査機関によるISMAP情報セキュリティ監査ガイドラインに基づいた監査を受ける必要があります。
監査機関から監査結果をまとめた実施結果報告書を入手後、クラウドサービス事業者からISMAP運営委員会に申請を行い、ISMAP運営委員会による適合状況審査に通ると、ISMAPクラウドサービスリストに登録されます。
ISMAP管理監査は大きく3種類の基準で構成されています。
| 基準 | 説明 | 項目数 |
|---|---|---|
| ガバナンス基準 | 経営陣が、管理者層に対してセキュリティに関する意思決定や指示等を継続的に実施していることを確認 | 18 |
| マネジメント基準 | 管理者が、的確にマネジメントを実施していることを確認 | 64 |
| 管理策基準 | 業務実施者が、クラウドサービスにセキュリティ対策を適用していることを確認 | 1077 |
あずさ監査法人では、以下の3つのサービスを提供しています。ISMAP登録を検討されている場合には、ぜひお問合せください。
ここで紹介するサービスは、公認会計士法、独立性規則および利益相反等の観点から、提供できる企業や提供できる業務の範囲等に一定の制限がかかる場合があります。
詳しくは有限責任 あずさ監査法人までお問い合わせください。
