ISMAP登録支援コンサルティングサービス
クラウドサービス事業者のビジネス拡大に必須の評価制度
昨今、Society5.0やDX(デジタル・トランスフォーメーション)に代表されるように、デジタル活用やデータ利活用に関する取り組みは活発で、その基盤となるクラウドサービスはより一層需要が高まっています。
政府機関の情報システム調達においても、クラウドサービスを第一候補とする方針、「クラウド・バイ・デフォルト原則」が2018年6月に発表され、クラウドサービスの安全性評価についての検討を経て、政府情報システムのためのセキュリティ評価制度(ISMAP※)を策定、2020年6月から運用が始まりました。
政府機関はこれまで、各組織がクラウドサービス事業者(以下、CSP)を個別に審査してクラウドサービスを調達してきました。ISMAPの制定により、統一された基準によってクラウドサービスを評価し、認定したサービスのみを「ISMAPクラウドサービスリスト」に登録します。政府機関はリストの中から安心して調達対象サービスを選択できることとなり、調達業務の効率化、セキュリティレベルの確保が期待できます。
一方、ISMAPが求めるセキュリティ対策は、1,000を超える管理策への対応を要求するもので、CSPはその対応に多くの時間を費やすことが見込まれます。
本サービスは、「ISMAPクラウドサービスリスト」への登録申請を検討しているCSP向けに、弊社のサイバーセキュリティ対策支援やISO27001の認証取得支援、リスクマネジメント等の知見を生かし、ISMAP登録に向けた支援をいたします。
※ ISMAP : Information system Security Management and Assessment Program
このようなお客様におすすめします
ISMAPサービスリストへの登録を目指す、下記のような企業におすすめします。
- クラウドサービスを政府機関に提供しており、今後もそのビジネスを維持するためにISMAPクラウドサービスリストへの登録が必須である
- クラウドサービスを政府機関へ提供しているが、他の政府機関へも提供を拡大したい
- 現時点では政府機関に自社のサービスを提供していないものの、今後提供したいと考えている
- 政府機関への対応要件を満たすISMAPに登録されることで民間企業に対しても自社のサービスレベルをアピールしたい
サービスの特長
1. 整備・運用状況を可視化し、ISMAPが求める管理基準とのギャップを特定します
ISMAPのセキュリティ要求事項に対し、包括的にリスクアセスメントを行い、ギャップを特定します。必要な対応を明確にして着手するため、手戻りを防いで推進できます。
2. 他の外部認証取得状況を踏まえた効率的な体制整備を行います
ISMAPがベースとする下記の各種認証制度の取得状況や準拠状況を踏まえることで、共通する管理基準や要求事項を特定し、効率的な体制整備を行います。
- ISO27001
- ISO27002
- ISO27014
- ISO27017
- NIST SP800-53
- NISC 政府機関等の情報セキュリティ対策のための統一基準群
3. ISMAP管理基準の3部構成に完全対応しています
ISMAPへの対応はガバナンス基準、マネジメント基準、管理策基準の3軸から構成されており、経営レベルから現場までの幅広い対応が求められます。ニュートンは経営層から現場まであらゆる階層の支援をモットーとしており、トップダウンとボトムアップの両面から支援が可能です。
4. 脆弱性診断も実施いたします
ISMAPの登録に求められる脆弱性診断にもオプションで対応が可能です。
※脆弱性診断サービス:
https://www.newton-consulting.co.jp/solution/cyber/vulnerability_assessment.html
5. わかりやすい評価レポート・言明書を作成いたします
ISMAP登録審査は、言明書の記載内容を基にして行われます。スムーズな審査のためには、評価の根拠を明確かつ端的に表現する必要があります。そのポイントを押さえた言明書の作成を支援します。
6.「ISMAP-LIU」にも対応可能です
ISMAPの枠組みのうち、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした仕組みである「ISMAP-LIU」の運用が2022年11月から始まりました。本サービスでは、「ISMAP-LIU」への対応も可能です。
作業ステップ(例)