ISMAP

ISMAPの概要

政府情報システムのためのセキュリティ評価制度であるISMAP( Information system Security Management and Assessment Program )(通称:イスマップ)は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。

2018年6月に、政府情報システムを整備する際には、クラウドサービスを第一候補とする、「クラウド・バイ・デフォルト原則」が示されました。
2020年6月に、クラウドサービスの安全性を評価・認定する仕組みとして「ISMAP」の運用を開始し、2022年11月にリスクの小さな情報処理に用いるSaaSサービスを対象とした、「ISMAP-LIU」の運用を開始しています。
政府省庁はISMAPの評価・認定がされたクラウドサービスの中から調達を行うことが原則となっています。

BDO三優監査法人は、ISMAP監査機関リストに登録された監査機関であり、ISMAPクラウドサービスリストへ登録された企業、またはこれから登録を目指す企業に、ISMAP監査基準に基づく情報セキュリティ監査業務および準備段階における予備調査業務を提供します。

【図表1 ISMAP制度の検討の経緯】

(参考資料:NISC・デジタル庁・総務省・経済産業省 政府情報システムのためのセキュリティ評価制度(ISMAP)の概要 令和5年11月版 ISMAPの歩み)