ISMAP登録支援
MASONの強み
情報システム業のお客様にトップクラスの実績あり
メイソンの幅広いセキュリティの知識と深い情報システム業界の知識により、お客様の実態に促したマネジメントシステムの構築をいたします。
大手出身のセキュリティコンサルタント・監査人による認証取得支援
弊社のコンサルタントは情報システム業、製造業に対してセキュリティコンサルティング・監査に豊富な経験を有しております。
お客様の作業工数を極小化できるコンサルティングの実現
お客様からはどのくらいの工数がかかるか心配だという声を聴いております。弊社はお客様の定常業務に影響を与えない支援形態でISMAPクラウドサービスリストへの登録を保証いたします。
ISMAPとは?
概要
ISMAPは、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、クラウドサービスの導入を円滑に行えるようにすることを目的とした制度です。日本語名称は、「政府情報システムのためのセキュリティ評価制度」です。英訳の(Information system Security Management and Assessment Program)を略した通称として当該制度のことをISMAPと呼びます。
ISMAPクラウドサービスリスト登録の必要性
ISMAPは内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省が運営しており、ISMAP運営委員会という組織が管理を行っています。クラウドサービス事業者(CSP)は、ISMAP監査機関リストに登録された監査機関に監査を依頼し、管理基準に基づいた情報セキュリティ対策の実施状況について監査基準等に基づき監査を受けます。ISMAP運営委員会は、監査されたCSPからの申請を受けて、クラウドサービス登録申請者に対する要求事項への適合状況を審査した上で、登録が妥当と判断したクラウドサービスをISMAPクラウドサービスリストに登録します。今後政府機関にクラウドサービスを利用してもらうためにはISMAPに登録されていることが必須となることが予想されております。今後政府のクラウドへのシフトはより顕著になることが想定されるため、ISMAPへの登録はより重要性を増すでしょう。また、クラウドサービスに対して多くの地方自治体や民間企業が不安を抱いていた背景も無視できません。政府が示すセキュリティ水準である観点から、セキュリティチェックにISMAPを活用する可能性が高く、地方自治体や民間企業からの需要は増加傾向になることが想定されます。
ISMAP登録のメリット
1. 国内クラウド市場のニーズに対応
ISMAPは政府機関の情報システム調達のみならず、多くの地方自治体や民間企業においてもクラウドサービスを選定する際の基準になると予想されます。社会的なクラウド利用へのシフト変換を踏まえ、今後広がりが期待される国内クラウド市場のニーズへの対応が可能となります。
2. 利害関係者からの信頼性向上
ISMAPへの登録はセキュリティーレベルを証明するにあたり他社との比較に効果を発揮します。ISMAPの審査を経て登録されたクラウドサービスは政府のお墨付きという観点から信頼性を得やすくなるほか、認知および評価の高まりも得られるでしょう。
3. 自社ブランド力の強化
企業の信頼度、ブランド力、イメージアップが確実に期待されます。クラウドサービスに対して政府が示すセキュリティ水準であるISMAP要求事項の遵守は、顧客に対し情報セキュリティが万全であることを証明できます。今後更に加速化していくと予想されるクラウドサービス事業において他社との差別化を図る上でISMAPの登録は貴社のブランド力強化に欠かせないと言えるでしょう。
ISMAPの管理基準
ISMAP管理基準は、ISMSクラウドセキュリティ認証で適用されている「JIS Q(ISO/IEC) 27001,27002,27017」を基礎とし、さらに政府の統一基準を満たすために不足している内容をNISTの基準であるSP800-53を参照し追加する形で構成されています。
管理基準は「ガバナンス基準」「マネジメント基準」「管理策基準」の3つで構成されており、それぞれ「経営陣」「管理者」「実務実施者」で対応することを求められます。そして、最大の特徴は1000項目以上ある「管理策基準」です。管理策基準とはISMAP登録の為に満たさなければならないルールや管理体制がまとめられた設問のことを指します。管理基準の項目数は、ガバナンス基準が18問、マネジメント基準が85問、管理策基準が1095問となっており、管理策基準の設問数が非常に多いことがわかります。そのためCSPはその対応に多くの時間を費やすことが見込まれます。本サービスは、「ISMAPクラウドサービスリスト」への登録申請を検討しているCSP向けに、弊社の幅広いセキュリティの知識と深い情報システム業界の知識により、ISMAP登録に向けた支援をいたします。
ISMAPでは3桁管理策のことを達成すべき「統制目標」、4桁管理策のことを統制目標達成のための具体的な手段としての「詳細管理策」と呼びます。
ISMAP登録支援フロー
1. 対象サービスの検討 |
|
---|---|
2. 方針決定の立案 |
|
3. ISMAP各種文書作成 |
|
4. ベースライン分析 |
|
5. 文書の作成・見直し |
|
6. 対策の実施 |
|
7. 従業員教育の実施 |
|
8. 内部監査の実施 |
|
9. 監査機関の決定/契約の締結 |
|
10. 外部監査の実施 |
|
11. IPAへサービス登録申請:申請書の作成・IPAにサービス登録申請 |
まずは、私たちプロへお気軽にご相談ください。
- お電話によるお問い合わせ・ご相談03-6425-6735受付時間: 9:00~18:00
- メールによるお問い合わせ・ご相談・お見積り依頼はこちら