2022年9月9日

ISMAP(イスマップ)とは、政府情報システムのためのセキュリティ評価制度です。ISMAPを持っていると政府機関や地方自治体からの受注や公共入札案件などでも有利に働くケースがあります。しかし、レベルが高いため、中小規模の組織にとってはハードルが高いものとなっており、ISO27001(ISMS)やISO27017で代替することもあります。
1.ISMAPとは
ISMAP(イスマップ)とは、「Information system Security Management and Assessment Program」の略称で、政府情報システムのためのセキュリティ評価制度です。
簡単に言うと、
「政府がクラウドサービスを利用もしくはお仕事を発注するとき、基準がないと選定に困る」
という経緯からISMAP(イスマップ)の評価制度が始まりました。
政府は、原則としてISMAP取得企業からクラウドサービスを調達するようにと発信しております。
つまり、持っていると政府機関や地方自治体とのお仕事、公共入札案件などでも有利に働くため、取得を目指す企業が増えている状況です。
2.ISMAPとISO27001(ISMS)、ISO27017の違いについて
ISMAPと似たような規格で、ISO27001(ISMS)とISO27017と呼ばれるものがあります。
ISO27001(ISMS)・・・情報資産のセキュリティを管理するための規格
ISO27017・・・クラウドセキュリティに関する規格
後述しますが、ISMAPの取得は中小規模の組織にはかなりハードルが高いものとなっております。
「うちの会社はISMAP取れないの?」
「ISO27001(ISMS)やISO27017で代替できるの?」
「情報収集のために簡単に比較したい」
という方に向けた簡易の比較表を用意しました。ご覧ください。

3.ISMAPはどういう企業が取得するのか?
ISMAPを取得するのは主に、「政府機関とお仕事をしている」もしくは、「自社クラウドサービスを導入してほしいと考えている」企業です。
また、SaaS系サービスを提供している会社が多いです。
2022年4月現在、36サービス(ISMAPを更新しなかった企業を除くと34サービス)がISMAPを取得しております。
日本全国でクラウドサービスを提供している会社は無数に存在しますが、ISMAPを取得している企業は極端に少ないですね。
※具体的にどの会社のどのサービスがISMAPを取得しているかは、「ISMAP クラウドサービスリスト」でWEB検索してみると出てきます。
4.ISMAP取得のメリット
ISMAPの取得メリットは、なんと言っても政府機関や地方自治体とのお仕事、公共入札案件などでも有利に働くことです。
政府は、原則としてISMAP取得企業からクラウドサービス調達をするようにと発信しているため、
ISMAPを取得していることだけで企業の強みと言えるでしょう。
5.ISMAP取得にかかる期間は?
ISMAP取得まで1~2年かけている企業が多いです。
まず1年かけてルールの整備や提出すべき書類を作ること、審査のときに提出すべき記録やログを取ることに注力します。
そして、書類等が一式揃った後「監査」というものを受けます。(後述します)
監査に通過したあと申請を行い、取得まで最短でも3ヶ月ほど(一般的には6ヶ月ほど)かかるケースが多いです。
6.ISMAPの取得方法を解説

ステップ①:統制・整備・運用
ISMAP取得のため、統制、整備、運用をしていきます。
ISMAPには1,298項目の要求があり、それをルール化・文書化・現場に落とし込み運用、記録(ログ)の収集をしていきます。
ステップ②:書類提出
言明書、経営者確認書などの、ISMAPに必要な書類を監査機関に提出します。
ステップ③:監査
一番大切な監査です。
ISMAPの監査ができる団体は2022年8月現在、5団体しかありません。
・EY新日本有限責任監査法人
・有限責任監査法人トーマツ
・有限責任あずさ監査法人
・PwCあらた有限責任監査法人
・三優監査法人
ステップ④:改善活動
監査を受けて、改善点が見つかった場合、改善活動を行います。
ステップ⑤:申請
監査で重大な発見事項が無かった場合、ISMAP運用支援機関(IPA)にISMAP登録申請することができます。
ステップ⑥:審査
ISMAP運用支援機関(IPA)が申請を受理し、ISMAP運営委員会が審査を行います。
ステップ⑦:取得・リスト登録
おめでとうございます。ISMAP取得です。
ISMAPクラウドサービスリストへの登録も行われます。
ちなみに、ISMAP登録の有効期限は、監査対象期間の末日の翌日から1年4ヶ月です。
つまり、毎年ISMAP更新審査があるという認識を持っておくのが良いです。
7.ISMAP取得にかかる費用は?
ISMAP取得にかかる費用は大きく2つあります。
①監査機関 ・・・監査費用
②コンサルティング ・・・コンサル費用
※ISMAP運用支援機構(IPA)への費用はかかりません。
規模やスケジュールにもよりますが、①+②で、1,000万円以上かかるケースも普通に見られます。
「こんなにかかるの!?」と思った方は多いのではないでしょうか?
そのような方への代替案がISO27001(ISMS)とISO27017です。
一例ですが、費用感でいうと6分の1くらいに圧縮できたという事例もあります。
まとめ
ISMAP(イスマップ)とは、政府情報システムのためのセキュリティ評価制度です。
ISMAP取得は中小規模の組織にはかなりハードルが高く、ISMAPと比較すると難易度が低いISO27001(ISMS)やISO27017で代替できる場合があります。
どの規格を取得するのかお悩みの方は、ぜひ一度認証パートナーにご相談ください。
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ