ISMAP登録までのプロセス

（1）まずはクラウドサービス事業者が管理基準を参考に、内部統制を構築します。
　　内部統制を構築時点で外部コンサルティング会社に依頼を行う場合が多いです。

（2）次に「ISMAP監査機関リスト」より監査機関の選定を実行します。

（3）その後監査機関での予備調査、本番監査と進めます。

（4）監査機関から発行された実施結果報告書を添えて、ISMAP運営委員会に申請を行い、審査が実施され「ISMAPクラウドサービスリスト」に掲載されます。

【図表4　制度の基本的な流れ】

ISMAP登録時の監査法人の役割

監査法人は「ISMAP情報セキュリティ監査ガイドライン」に基づき、クラウドサービス事業者が作成した言明書に記載の個別管理策の評価を実施します。

監査人の独立性等の理由により、ISMAPにおける内部監査をISMAP監査機関リストに登録された監査機関に委託することはできません。これは、ISMAP-LIUにおいても同様です。
（ISMAPポータルQ＆A）

【図表5　ISMAPにおける監査機関の役割】

本件のお問い合わせ先

BDO三優監査法人は、BDOグローバルネットワークの一員であり、グローバルネットワークを生かした監査を実行しています。
各種ご検討の際は、ぜひお問合せください。

【本件問い合わせ】

システム監査部