サービス

ISMAPにおける情報セキュリティ監査業務および準備作業への助言業務

有限責任監査法人トーマツは、政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:通称、ISMAP(イスマップ))における情報セキュリティ監査業務および準備作業への助言業務を提供します。

ISMAPとは

「政府情報システムのためのセキュリティ評価制度」(ISMAP、以下「本制度」といいます)は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的としています。今後は、各政府機関等がクラウドサービスの調達を行う際は、ISMAPにおいて登録されたサービスから調達することが原則となります。

クラウドサービス事業者は、「ISMAP監査機関リスト」に登録された監査機関にISMAPにおける情報セキュリティ監査業務を依頼し、ISMAP管理基準に基づいた情報セキュリティ対策の実施状況について、ISMAP情報セキュリティ監査基準等に基づきISMAPにおける情報セキュリティ監査を受け、登録申請します。
 
ISMAP運営委員会は、ISMAPにおける情報セキュリティ監査を受けたクラウドサービス事業者からの申請を受けて、クラウドサービス登録申請者に対する要求事項への適合状況を審査した上で、登録が妥当と判断したクラウドサービスを「ISMAPクラウドサービスリスト」に登録します。

詳細は、独立行政法人情報処理推進機構(IPA)のISMAPのサイトをご参照ください。
https://www.ipa.go.jp/security/ismap/index.html
※外部サイトにリンクします

 

ISMAPにおける情報セキュリティ監査における登録から業務までの流れ
※クリックで拡大

サービス概要

1.  ISMAPにおける情報セキュリティ監査業務

当法人は、「ISMAPクラウドサービスリスト」への申請・登録を目指すクラウドサービスについて、クラウドサービス事業者のISMAP管理基準に基づいた情報セキュリティ対策の実施状況に関する言明書に対し、「ISMAP情報セキュリティ監査ガイドライン」および「ISMAP標準監査手続」に基づいた手続(証憑閲覧・観察等)を実施し、「実施結果報告書」を作成し提供します。

なお、本業務は、「ISMAP情報セキュリティ監査ガイドライン」および「ISMAP標準監査手続」に準拠して手続を実施し、その結果を事実に即して報告することが目的であり、手続実施結果から導かれる結論の報告や保証を提供するものではありません。
(本業務の特質の詳細については、「ISMAP情報セキュリティ監査ガイドライン」(第1章 総則 1.2 本制度における監査業務の特質)(外部サイト)を ご参照ください。)

 

 2. 「ISMAPクラウドサービスリスト」登録申請に向けた準備作業への助言業務

当法人は、クラウドサービス事業者が自社のクラウドサービスを「ISMAPクラウドサービスリスト」へ登録申請するための準備作業に対する助言業務を提供します。
ISMAPにおける情報セキュリティ監査業務で実施する「ISMAP標準監査手続」に準拠した手続を想定し、クラウドサービス事業者が言明するクラウドサービスに関する情報セキュリティ対策の実施状況に対するGAP分析の実施、GAP分析で判明した発見事項・改善案等を提供します。また、必要に応じて、クラウドサービス事業者が進める申請のための各準備作業にかかる助言業務も提供します。

 

トーマツの強み

当法人は、情報セキュリティや情報システムの管理態勢に対する第三者評価業務、SOC報告書発行業務等を長年に渡って提供し続けており、情報セキュリティ対策の実施状況に対する豊富な知見と実績を有しています。また、Deloitteグローバルネットワークのとの連携により、グローバルベースの知見と実績を有したプロフェッショナルが多数在籍しています。

2020年8月20日に、ISMAP運営委員会による登録決定を受け、ISMAP監査機関(外部リンク)として登録されました。

本サービスは、このような豊富な知見と実績に加え、クラウドコンピューティングに関する知見、情報セキュリティ関連資格の保有等、本制度の要求事項を満たしたプロフェッショナルによって提供します。

プロフェッショナル

長谷 友春/Tomoharu Hase

長谷 友春/Tomoharu Hase

有限責任監査法人トーマツ パートナー

公認会計士、公認情報システム監査人として、会計監査、システム監査、内部統制コンサルティング等に15年以上従事。 公認会計士としての知見とDeloitteトロント事務所への赴任経験を生かし、 グローバル企業に対する会計とITの両方の面からのアドバイザリー業務を得意としている。 日本公認会計士協会IT委員会ITアシュアランス専門委員、電子化対応専門委員を歴任。 主な著書として、『アウトソーシングと監査... さらに見る

辻村 啓/Tsujimura Akira

辻村 啓/Tsujimura Akira

有限責任監査法人トーマツ ディレクター

地方銀行勤務後、2004年入社。金融機関を中心に、様々な業種の財務諸表監査・内部統制監査の一環としてのシステムレビューや、受託業務に係る内部統制の保証報告書関連業務(SOC関連業務)に多数従事。また、システムリスク監査、内部監査支援、内部統制構築支援等のITガバナンス関連サービスに従事。公認会計士、システム監査技術者、公認情報システム監査人(CISA)。経済産業省「クラウドサービスの安全性評価に関... さらに見る