政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
本制度は、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定)に基づき、内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省が運営しています。独立行政法人情報処理推進機構(IPA)は、本制度の制度運用に係る実務及び評価に係る技術的な支援を行います。
また、本制度のうち、リスクの小さな業務・情報の処理に用いるSaaS サービスを対象とする仕組みの名称を、ISMAP for Low-Impact Use: ISMAP-LIU(イスマップ エルアイユー)とします。
▶ 【2023年11月更新】政府情報システムのためのセキュリティ評価制度(ISMAP)について(NISC・デジタル庁・総務省・経済産業省) (PDF:1.69MB)
▶ ISMAP-LIUについて(内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省 ) (PDF:891KB)
▶ 【2023年12月掲載】ISMAP制度改善の取組み(PDF:1.09MB)
| 制度の基本的枠組み |
本制度では、ISMAP運営委員会が、以下を含む規程等を定めます。
●クラウドサービス登録申請者に対する要求事項
●情報セキュリティ管理・運用の基準となる管理基準
●監査機関登録申請者に対する要求事項
ISMAP運営委員会は、監査機関登録申請者に対する要求事項を満たすことが確認された機関をISMAP監査機関リストに登録します。
クラウドサービス事業者は、ISMAP監査機関リストに登録された監査機関に監査を依頼し、管理基準に基づいた情報セキュリティ対策の実施状況について監査基準等に基づき監査を受けます。
ISMAP運営委員会は、監査されたクラウドサービス事業者からの申請を受けて、クラウドサービス登録申請者に対する要求事項への適合状況を審査した上で、登録が妥当と判断したクラウドサービスをISMAPクラウドサービスリスト又はISMAP-LIU クラウドサービスリスト(以下、両リストを「ISMAP 等クラウドサービスリスト」という。)に登録します。
調達府省庁等はISMAP等クラウドサービスリストに掲載されているクラウドサービスの中から調達を行うことを原則とします。
| 関連リンク |
▶ 本制度について(内閣サイバーセキュリティセンター(NISC))
▶ 政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて
▶ 政府情報システムのためのセキュリティ評価制度(ISMAP)の利用について(令和2年6月30日 サイバーセキュリティ対策推進会議・各府省情報化統括責任者(CIO)連絡会議決定)
▶ 政府情報システムのためのセキュリティ評価制度(ISMAP)の暫定措置の見直しについて(令和3年7月6日 サイバーセキュリティ対策推進会議・各府省情報化統括責任者(CIO)連絡会議決定)
▶ 政府機関等向け情報(ISMAP等クラウドサービスリストの利用について)