2024年9月2日
ISMAP(イスマップ)とは、政府情報システムのためのセキュリティ評価制度です。ISMAPを持っていると政府機関や地方自治体からの受注や公共入札案件などでも有利に働くケースがあります。しかし、レベルが高いため、中小規模の組織にとってはハードルが高いものとなっており、ISO27001(ISMS)やISO27017で代替することもあります。
1.ISMAPとは
ISMAP(イスマップ)とは、「Information system Security Management and Assessment Program」の略称で、政府情報システムのためのセキュリティ評価制度です。
簡単に言うと、「政府がクラウドサービスを利用もしくはお仕事を発注するとき、基準がないと選定に困る」という経緯からISMAP(イスマップ)の評価制度が始まりました。
政府は、原則としてISMAP取得企業からクラウドサービスを調達するようにと発信しております。
つまり、持っていると政府機関や地方自治体とのお仕事、公共入札案件などでも有利に働くため、取得を目指す企業が増えている状況です。
2.ISMAPとISO27001(ISMS)、ISO27017の違いについて
ISMAPと似たような規格で、ISO27001(ISMS)とISO27017と呼ばれるものがあります。
- ISO27001(ISMS)・・・情報資産のセキュリティを管理するための規格
- ISO27017・・・クラウドセキュリティに関する規格
後述しますが、ISMAPの取得は中小規模の組織にはかなりハードルが高いものとなっております。
「うちの会社はISMAP取れないの?」
「ISO27001(ISMS)やISO27017で代替できるの?」
「情報収集のために簡単に比較したい」
という方に向けた簡易の比較表を用意しました。ご覧ください。
3.ISMAPはどういう企業が取得するのか?
ISMAPを取得するのは主に、「政府機関とお仕事をしている」もしくは、「自社クラウドサービスを導入してほしいと考えている」企業です。
2020年から始まり、全国で約60サービスがISMAPを取得しております。
日本全国でクラウドサービスを提供している会社は無数に存在しますが、ISMAPを取得している企業は極端に少ないですね。
※具体的にどの会社のどのサービスがISMAPを取得しているかは、「ISMAP クラウドサービスリスト」でWEB検索してみると出てきます。
4.ISMAP取得のメリット
ISMAPの取得メリットは、なんと言っても政府機関や地方自治体とのお仕事、公共入札案件などでも有利に働くことです。
政府は、原則としてISMAP取得企業からクラウドサービス調達をするようにと発信しているため、ISMAPを取得していることだけで企業の強みと言えるでしょう。
5.ISMAP取得にかかる期間は?
ISMAP取得まで約2年ほどかけている企業が多いです。
まず1年かけてルールの整備や提出すべき書類を作ること、審査のときに提出すべき記録やログを取ることに注力します。
そして、書類等が一式揃った後「監査」というものを受けます。(後述します)
監査に通過したあと申請を行い、取得まで最短でも3ヶ月ほど(一般的には6ヶ月ほど)かかるケースが多いです。
6.ISMAPの取得方法を解説
ステップ①:統制・整備・運用
ISMAP取得のため、統制、整備、運用をしていきます。
ISMAPには約1,200項目の要求があり、それをルール化・文書化・現場に落とし込み運用、記録(ログ)の収集をしていきます。
ステップ②:書類提出
言明書、経営者確認書などの、ISMAPに必要な書類を監査機関に提出します。
ステップ③:監査
一番大切な監査です。
ISMAPの監査ができる団体は現在、5団体しかありません。
- EY新日本有限責任監査法人
- 有限責任監査法人トーマツ
- 有限責任あずさ監査法人
- PwCあらた有限責任監査法人
- 三優監査法人
ステップ④:改善活動
監査を受けて、改善点が見つかった場合、改善活動を行います。
ステップ⑤:申請
監査で重大な発見事項が無かった場合、ISMAP運用支援機関(IPA)にISMAP登録申請することができます。
ステップ⑥:審査
ISMAP運用支援機関(IPA)が申請を受理し、ISMAP運営委員会が審査を行います。
ステップ⑦:取得・リスト登録
おめでとうございます。ISMAP取得です。
ISMAPクラウドサービスリストへの登録も行われます。
ちなみに、ISMAP登録の有効期限は、監査対象期間の末日の翌日から1年4ヶ月です。
つまり、毎年ISMAP更新審査があるという認識を持っておくのが良いです。
7.ISMAP取得にかかる費用は?
ISMAP取得にかかる費用は大きく2つあります。
- ①監査機関 ・・・監査費用
- ②コンサルティング ・・・コンサル費用
※ISMAP運用支援機構(IPA)への費用はかかりません。
規模にもよりますが、①+②で、約3,000~5,000万円が一般的にかかります。
「こんなにかかるの!?」と思った方は多いのではないでしょうか?
そのような方への代替案がISO27001(ISMS)とISO27017です。
一例ですが、費用感でいうと10分の1以下に圧縮できたという事例も数多くります。
8.ISMAPの取得に必要な具体的な実施事項は?
約1,200項目の内訳は、大きく3つに分かれております。
ガバナンス基準 経営層 必須 マネジメント基準 管理者層 必須 管理策基準 現場担当者
業務担当者必須
その3つの基準の下に細かい項目が1,200個ほど連なっているイメージです。
統制目標
(3桁管理策)ー 必須 詳細管理策
(4桁管理策)(無印) 採否を選択できる
(約1,000個)B 必須 PB 必須
ちなみに、4桁管理策で「不採用」とした場合、不採用にした項目でも、なぜ不採用にしたのかの理由記載が必要です。
なんでもかんでも不採用にできませんし、理由も明確でなければ監査で引っかかりますので、注意が必要です。
具体的な実施事項としては、以下のようなイメージです。
(1)ガバナンス基準
経営陣は、情報セキュリティの戦略及び方針を承認する。
- (ア)経営陣は、管理者に、情報セキュリティの戦略及び方針を策定・実施させる。
- (イ)経営陣は、管理者に、情報セキュリティの目的を事業目的に合わせて調整させる。
→この要求を満たした社内ルールを制定し、規程に入れ、方針をつくる。(ISOやISMSの活動に近い)
(2)マネジメント基準
管理層が、その職掌範囲、組織等において、リーダーシップを発揮できるよう、トップマネジメントは、管理層に、必要な権限を委譲していることを確認する。
→この要求を満たした社内ルールを制定し、規程に入れ、記録をつくる。(ISOやISMSの活動に近い)
(3)管理策基準
クラウドサービス事業者は、クラウドサービス利用の合意の終了時における、クラウドサービス利用者の全ての資産の返却及び除去の取決めについて、情報を提供する。
→セキュリティルールの制定や、サービス自体のプログラム改修、ログ取り、記録作りなど、より実務的なものがチェックされ、改善活動が必要になる。
まとめ
ISMAP(イスマップ)とは、政府情報システムのためのセキュリティ評価制度です。
ISMAP取得は中小規模の組織にはかなりハードルが高く、ISMAPと比較すると難易度が低いISO27001(ISMS)やISO27017で代替できる場合があります。
どの規格を取得するのかお悩みの方は、ぜひ一度認証パートナーにご相談ください。
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
-
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください