「ISMAP 管理基準マニュアル」について

政府情報システムのためのセキュリティ評価制度(ISMAP)ではCSPがISMAP登録のために満たさなければならないルールや管理体制等について1000項目を超える「管理策基準」があり、導入について高いハードルが課せられております。

参考文書:ISMAP運営委員会 ISMAP 管理基準マニュアル

しかし、これら全てを満たすことは運用がかえって阻害されてしまうこともあります。よって、CSP は自身の提供するサービス内容に照らし、合理的な適用が不可能な統制目標(3 桁管理策)については、その理由を示すことで対象外とすることができます。
なお、ガバナンス基準及びマネジメント基準は、原則として全て実施しなければなりませんが。管理基準は、統制目標とされる 3 桁管理策(A.X.X.X)と、それを達成するための手段となる詳細管理策である 4 桁管理策(A.X.X.X.X)で構成されており、原則として3桁管理策を必須、4 桁管理策を選択的とし、「一部の重要な管理策」を必須としております。

参考文書:ISMAP運営委員会 ISMAP 管理基準マニュアル

このように、クラウドサービス事業者がISMAPクラウドサービスリストへの登録を行うにあたり、クラウドサービスに対するセキュリティ対策の進め方および管理基準の理解の一助となるよう、「ISMAP 管理基準」の補足資料の位置付けとしてISMAP運営委員会より「ISMAP 管理基準マニュアル」が公開されております。

これらを踏まえ、個別管理策の策定に向けて実施すべき作業フローです。

参考文書:ISMAP運営委員会 ISMAP 管理基準マニュアル

なお、ISMAPのクラウドサービス登録に関することについて、FAQが用意されておりますので、こちらも参考になると思います。

投稿者: 二本松 哲也

競争原理から共創原理へ SPbD Founder、 OWASP Member 、株式会社ラック セキュリティコンサルタント、総務省事業 テレワーク セキュリティ専門家、IPCC 地球温暖化防止コミュニケーター、キャリア(個人事業主:PG→SE→PL→PM)→ (会社員:システムコンサルティング事業部 部長:情シス、事業企画、プロダクト開発、知財、法務、情報セキュリティ委員会、Pマーク、IT補助金、IPO、在留資格申請、建設業許可申請)