HOME情報セキュリティISMAPISMAP: ISMAP概要

本文を印刷する

情報セキュリティ

ISMAP: ISMAP概要

最終更新日:2020年6月11日

 政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。

 本制度は、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定)に基づき、内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営しています。独立行政法人情報処理推進機構(IPA)は、本制度の制度運用に係る実務及び評価に係る技術的な支援を行います。

制度の基本的枠組み

 本制度では、ISMAP運営委員会が、以下を含む規程等を定めます。

  • クラウドサービス登録申請者に対する要求事項
  • 情報セキュリティ管理・運用の基準となる管理基準
  • 監査機関登録申請者に対する要求事項

 ISMAP運営委員会は、監査機関登録申請者に対する要求事項を満たすことが確認された機関をISMAP監査機関リストに登録します。

 クラウドサービス事業者は、ISMAP監査機関リストに登録された監査機関に監査を依頼し、管理基準に基づいた情報セキュリティ対策の実施状況について監査基準等に基づき監査を受けます。

 ISMAP運営委員会は、監査されたクラウドサービス事業者からの申請を受けて、クラウドサービス登録申請者に対する要求事項への適合状況を審査した上で、登録が妥当と判断したクラウドサービスをISMAPクラウドサービスリストに登録します。

 調達府省庁等はISMAPクラウドサービスリストに掲載されているクラウドサービスの中から調達を行うことを原則とします。

制度全体像

関連リンク