政府情報システムのためのセキュリティ評価制度(ISMAP)

政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 以下、ISMAP:イスマップ)は、政府が求めるセキュリティ要求事項を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、よってクラウドサービスの円滑な導入に資することを目的とした制度です。

EYはISMAP監査機関リストに登録された監査機関としてISMAP制度の初期から世界中のクラウドサービス事業者に対して、豊富な情報セキュリティ監査及び予備調査等の実績を有します。

また、本制度のうち、リスクの小さな業務・情報の処理に用いるSaaS サービスを対象とする仕組みであるISMAP for Low-Impact Use: ISMAP-LIU:イスマップ エルアイユーついてもEYでは情報セキュリティ監査および予備調査が可能です。

政府における調達府省庁等はISMAPクラウドサービスリストまたはISMAP-LIUクラウドサービスリストに掲載されているクラウドサービスの中から調達を行うことを原則としています。また、政府のみならず一般企業においてもクラウドサービスの利用は近年拡大傾向にあり、今後より多くの企業においてクラウドサービスの利用が一般化・浸透していくことが想定されます。以上のことからも、クラウドサービス事業者にとってISMAPに登録されることの重要性が増してくると予想されます。

EYができること


政府および企業が抱えるクラウドサービス導入に対する情報セキュリティ面での懸念を払しょくするために、クラウドサービスの安全性について独立した第三者の客観的な情報セキュリティ監査を通じて周知していくことの重要性が高まっています。

EYはISMAPおよびISMAP-LIUに関する事前準備段階から情報セキュリティ監査に対応可能です。対象もSaaS、PaaS、IaaS問わず、すべてのクラウドサービスにおいて実績があり、各クラウドサービスの特徴を考慮した情報セキュリティ監査が可能です。また、複数のクラウドサービスを持つ事業者の情報セキュリティ監査実績、国内外問わず世界中のクラウドサービスの対応、他の情報セキュリティ監査・認証・保証業務との効率化も図っており、さまざまなクラウドサービス事業者のニーズに応えることを目指しています。
 

ISMAPおよびISMAP-LIU 予備調査

ISMAP情報セキュリティ監査はさまざまな制度上の特殊な要求事項があることから、既に他のISMS認証やSOC2等に取り組まれているクラウドサービス事業者においても特に初年度の情報セキュリティ監査では苦労されるケースが多々あります。ISMAPでは本監査時に問題が発見された場合には発見された問題点について改善計画書を示す必要があり、事前準備をしっかりと行うことが重要です。EYでは独立性を維持しながらクラウドサービス事業者に対し、クラウドサービス事業者が十分に準備をしたうえでISMAP情報セキュリティ監査に臨めるようにISMAPおよびISMAP-LIUの予備調査を実施しています。
 

ISMAPおよびISMAP-LIU 情報セキュリティ監査

ISMAP制度開始当初からISMAP監査機関リストに登録されている監査機関として、クラウドサービス事業者に対してISMAPおよびISMAP-LIUの情報セキュリティ監査を実施します。監査の対象期間の末日から報告書発行までの期間がタイトであり、スムーズな対応が求められることから、EYでは多数の情報セキュリティ監査実績に基づくノウハウを生かし効率的な情報セキュリティ監査を目指します。
 

政府情報システムのためのセキュリティ評価制度(ISMAP)の枠組み

政府情報システムのためのセキュリティ評価制度(ISMAP)の枠組み

ISMAP-LIUの枠組み

ISMAP-LIUの枠組み

第三者評価(SOCR/ISMAP/ISO)

委託業務に係る内部統制の状況を把握し、その有効性の評価に資する保証報告書(保証業務実務指針3402/AT-C320、以下「保証実3402/AT-C320 」)をはじめ、Trustサービス(情報システムの信頼性などに係る規準)に係る保証報告書の発行など、EYは第三者機関としての報告サービス(SOCR)を提供します。
ISO規格に基づくISO20000-1、ISO27001、ISO27017、ISO27018、ISO27701等の認証業務や、手続実施結果のみを事実に則して報告する「合意された手続」業務(Agreed-Upon Procedures Engagements)も提供するほか、政府情報システムのためのセキュリティ評価制度(以下、ISMAP:イスマップ)における監査機関としてISMAP情報セキュリティ監査業務も提供します。

詳細ページへ


EY Japan Assurance Hub

時代とともに進化する財務・経理に携わり、財務情報のみならず、非財務情報も統合し、企業の持続的成長のかじ取りに貢献するバリュークリエーターの皆さまにお届けする情報ページ 

EY Japan Assurance Hub


お問い合わせ
より詳しい情報をご希望の方はご連絡ください。