ISMAP(Information system Security Management and Assessment Program)は、日本政府が運用するセキュリティ評価制度で、正式名称は「政府情報システムのためのセキュリティ評価制度」です。この制度は、政府機関が利用するクラウドサービスのセキュリティを評価・認証することを目的としています。
主な目的
ISMAPの主な目的は、政府機関で利用されるクラウドサービスのセキュリティレベルを一定以上に保つことです。これにより、機密性の高い行政情報や国民の個人情報を適切に保護し、安心・安全な電子行政サービスの提供に寄与します。
認証プロセス
- 申請:クラウドサービス事業者がISMAPの認証を申請します。
- 審査:第三者機関による審査が行われ、セキュリティ基準を満たしているか評価されます。
- 認証:審査に合格すると、ISMAPの認証が付与され、政府機関での利用が可能となります。認証の有効期間は2年間で、継続利用には更新審査が必要です。
管理基準
ISMAPの管理基準は、国際規格(ISO/IEC 27001、ISO/IEC 27017)に準拠しており、以下の3つの基準で構成されています:
- ガバナンス基準:経営陣が実施すべき事項を定義。
- マネジメント基準:情報セキュリティマネジメントの計画、実行、点検、処置、リスクコミュニケーションに必要な事項を定義。
- 管理策基準:情報セキュリティリスク対応のための具体的な管理策を示す。
背景と意義
ISMAPは、クラウドサービスの利用が急速に拡大する中で、セキュリティリスクへの対策が求められる背景から制定されました。政府機関がクラウドサービスを安全かつ効率的に導入するための基盤として重要な役割を果たしています。
