政府情報システムのためのセキュリティ評価制度(ISMAP)ではCSPがISMAP登録のために満たさなければならないルールや管理体制等について1000項目を超える「管理策基準」があり、導入について高いハードルが課せられております。
しかし、これら全てを満たすことは運用がかえって阻害されてしまうこともあります。よって、CSP は自身の提供するサービス内容に照らし、合理的な適用が不可能な統制目標(3 桁管理策)については、その理由を示すことで対象外とすることができます。
なお、ガバナンス基準及びマネジメント基準は、原則として全て実施しなければなりませんが。管理基準は、統制目標とされる 3 桁管理策(A.X.X.X)と、それを達成するための手段となる詳細管理策である 4 桁管理策(A.X.X.X.X)で構成されており、原則として3桁管理策を必須、4 桁管理策を選択的とし、「一部の重要な管理策」を必須としております。
このように、クラウドサービス事業者がISMAPクラウドサービスリストへの登録を行うにあたり、クラウドサービスに対するセキュリティ対策の進め方および管理基準の理解の一助となるよう、「ISMAP 管理基準」の補足資料の位置付けとしてISMAP運営委員会より「ISMAP 管理基準マニュアル」が公開されております。
これらを踏まえ、個別管理策の策定に向けて実施すべき作業フローです。
なお、ISMAPのクラウドサービス登録に関することについて、FAQが用意されておりますので、こちらも参考になると思います。