政府情報システムのためのセキュリティ評価制度: (以下ISMAP)は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、クラウドサービスの円滑な導入に資することを目的とした制度です。
本制度は、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」に基づき、内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省が運営しており、独立行政法人情報処理推進機構(IPA)は、本制度の制度運用に係る実務及び評価に係る技術的な支援を行います。
BDO三優監査法人は、ISMAP監査機関リストに登録された監査機関であり、ISMAPクラウドサービスリストへ登録された企業、またはこれから登録を目指す企業に、ISMAP監査基準に基づくサイバーセキュリティ監査業務および準備段階における予備調査業務を提供します。
ISMAPの概要
【図表1 制度の基本的枠組み】
(「はじめての ISMAP」P3 出典 )
Image Caption
ISMAP制度導入の背景
ISMAP制度が制定されるまで、日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在していませんでした。
クラウドサービスの多様化・高度化に伴い、官民双方が一層安全・安心にクラウドサービスを採用し、継続的に利用していくため、情報資産の重要性に応じ、信頼性の確保の観点から、クラウドサービスの安全性評価について、諸外国の例も参考にISMAP制度を設立しました。
【図表2 ISMAPの導入で目指す姿】
(「はじめての ISMAP」P2 出典 )
ISMAP管理基準の構成
ISMAP管理基準は「JIS Q 27000シリーズ」「政府統一基準」「NIST SP800-53」を取り込んだ形で作成されています。
- JIS Q 27000シリーズ:JIS Q 27001・JIS Q 27002・JIS Q 27014・JIS Q 27017
- 政府統一基準 :政府機関等のサイバーセキュリティ対策のための統一基準群
- NIST SP800-53 :米国国立標準技術研究所 組織と情報システムのためのセキュリティおよびプライバシー管理策
ISMAP管理策基準は「①ガバナンス基準」「②マネジメント基準」「③管理策基準」の3種の基準で構成されています。
【図表3 ISMAP管理基準の構成】
(政府情報システムのためのセキュリティ評価制度(ISMAP)について(NISC・デジタル庁・総務省・経済産業省)」ISMAP管理基準の構成Ⅰ 出典)
本件のお問い合わせ先
BDO三優監査法人は、BDOグローバルネットワークの一員であり、グローバルネットワークを生かした監査を実行しています。
各種ご検討の際は、ぜひお問合せください。
【本件問い合わせ】
システム監査部