ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

【初めての人向け】今話題のISMAPとは何か?をわかりやすく説明

2022年9月9日

【初めての人向け】今話題のISMAPとは何か?をわかりやすく説明

ISMAP(イスマップ)とは、政府情報システムのためのセキュリティ評価制度です。ISMAPを持っていると政府機関や地方自治体からの受注や公共入札案件などでも有利に働くケースがあります。しかし、レベルが高いため、中小規模の組織にとってはハードルが高いものとなっており、ISO27001(ISMS)やISO27017で代替することもあります。

1.ISMAPとは

 

ISMAP(イスマップ)とは、「Information system Security Management and Assessment Program」の略称で、政府情報システムのためのセキュリティ評価制度です。

簡単に言うと、

「政府がクラウドサービスを利用もしくはお仕事を発注するとき、基準がないと選定に困る」

という経緯からISMAP(イスマップ)の評価制度が始まりました。

 

政府は、原則としてISMAP取得企業からクラウドサービスを調達するようにと発信しております。

つまり、持っていると政府機関や地方自治体とのお仕事、公共入札案件などでも有利に働くため、取得を目指す企業が増えている状況です。

 

2.ISMAPとISO27001(ISMS)、ISO27017の違いについて

 

ISMAPと似たような規格で、ISO27001(ISMS)とISO27017と呼ばれるものがあります。

 

ISO27001(ISMS)・・・情報資産のセキュリティを管理するための規格

ISO27017・・・クラウドセキュリティに関する規格

 

後述しますが、ISMAPの取得は中小規模の組織にはかなりハードルが高いものとなっております。

「うちの会社はISMAP取れないの?」

「ISO27001(ISMS)やISO27017で代替できるの?」

「情報収集のために簡単に比較したい」

という方に向けた簡易の比較表を用意しました。ご覧ください。

ISMSAとISMS・ISO27017の比較表

3.ISMAPはどういう企業が取得するのか?

ISMAPを取得するのは主に、「政府機関とお仕事をしている」もしくは、「自社クラウドサービスを導入してほしいと考えている」企業です。

また、SaaS系サービスを提供している会社が多いです。

 

2022年4月現在、36サービス(ISMAPを更新しなかった企業を除くと34サービス)がISMAPを取得しております。

日本全国でクラウドサービスを提供している会社は無数に存在しますが、ISMAPを取得している企業は極端に少ないですね。

 

※具体的にどの会社のどのサービスがISMAPを取得しているかは、「ISMAP クラウドサービスリスト」でWEB検索してみると出てきます。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

4.ISMAP取得のメリット

ISMAPの取得メリットは、なんと言っても政府機関や地方自治体とのお仕事、公共入札案件などでも有利に働くことです。

 

政府は、原則としてISMAP取得企業からクラウドサービス調達をするようにと発信しているため、

ISMAPを取得していることだけで企業の強みと言えるでしょう。

5.ISMAP取得にかかる期間は?

ISMAP取得まで1~2年かけている企業が多いです。

まず1年かけてルールの整備や提出すべき書類を作ること、審査のときに提出すべき記録やログを取ることに注力します。

そして、書類等が一式揃った後「監査」というものを受けます。(後述します)

 

監査に通過したあと申請を行い、取得まで最短でも3ヶ月ほど(一般的には6ヶ月ほど)かかるケースが多いです。

6.ISMAPの取得方法を解説

ismap取得スケジュール

ステップ①:統制・整備・運用

ISMAP取得のため、統制、整備、運用をしていきます。

ISMAPには1,298項目の要求があり、それをルール化・文書化・現場に落とし込み運用、記録(ログ)の収集をしていきます。

 

ステップ②:書類提出

言明書、経営者確認書などの、ISMAPに必要な書類を監査機関に提出します。

 

ステップ③:監査

一番大切な監査です。

ISMAPの監査ができる団体は2022年8月現在、5団体しかありません。

 ・EY新日本有限責任監査法人

 ・有限責任監査法人トーマツ

 ・有限責任あずさ監査法人

 ・PwCあらた有限責任監査法人

 ・三優監査法人

 

ステップ④:改善活動

監査を受けて、改善点が見つかった場合、改善活動を行います。

 

ステップ⑤:申請

監査で重大な発見事項が無かった場合、ISMAP運用支援機関(IPA)にISMAP登録申請することができます。

 

ステップ⑥:審査

ISMAP運用支援機関(IPA)が申請を受理し、ISMAP運営委員会が審査を行います。

 

ステップ⑦:取得・リスト登録

おめでとうございます。ISMAP取得です。

ISMAPクラウドサービスリストへの登録も行われます。

 

ちなみに、ISMAP登録の有効期限は、監査対象期間の末日の翌日から1年4ヶ月です。

つまり、毎年ISMAP更新審査があるという認識を持っておくのが良いです。

 

7.ISMAP取得にかかる費用は?

 

ISMAP取得にかかる費用は大きく2つあります。

 

①監査機関         ・・・監査費用

②コンサルティング     ・・・コンサル費用

 

※ISMAP運用支援機構(IPA)への費用はかかりません。

 

規模やスケジュールにもよりますが、①+②で、1,000万円以上かかるケースも普通に見られます。

 

「こんなにかかるの!?」と思った方は多いのではないでしょうか?

そのような方への代替案がISO27001(ISMS)とISO27017です。

 

一例ですが、費用感でいうと6分の1くらいに圧縮できたという事例もあります。

 

まとめ

ISMAP(イスマップ)とは、政府情報システムのためのセキュリティ評価制度です。

ISMAP取得は中小規模の組織にはかなりハードルが高く、ISMAPと比較すると難易度が低いISO27001(ISMS)やISO27017で代替できる場合があります。

 

どの規格を取得するのかお悩みの方は、ぜひ一度認証パートナーにご相談ください。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。