ISMAPにおける情報セキュリティ監査業務および準備段階における予備調査業務

ISMAPとは

「政府情報システムのためのセキュリティ評価制度」（ISMAP、以下「本制度」といいます）は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的としています。今後は、各政府機関等がクラウドサービスの調達を行う際は、ISMAPにおいて登録されたサービスから調達することが原則となります。

クラウドサービス事業者は、「ISMAP監査機関リスト」に登録された監査機関にISMAPにおける情報セキュリティ監査業務を依頼し、ISMAP管理基準に基づいた情報セキュリティ対策の実施状況について、ISMAP標準監査手続等に基づくISMAPにおける情報セキュリティ監査を受け、登録申請します。　

ISMAP運営委員会は、ISMAPにおける情報セキュリティ監査を受けたクラウドサービス事業者からの申請を受けて、クラウドサービス登録申請者に対する要求事項への適合状況を審査した上で、登録が妥当と判断したクラウドサービスを「ISMAPクラウドサービスリスト」に登録します。

詳細は、ISMAPポータルサイトをご参照ください。
https://www.ismap.go.jp/csm
※外部サイトにリンクします。

サービス概要

1.  ISMAPにおける情報セキュリティ監査業務

当法人は、「ISMAPクラウドサービスリスト」への申請・登録を目指すクラウドサービスについて、クラウドサービス事業者のISMAP管理基準に基づいた情報セキュリティ対策の実施状況に関する言明書に対し、「ISMAP情報セキュリティ監査ガイドライン」および「ISMAP標準監査手続」に基づいた手続（質問、閲覧、観察）を実施し、「実施結果報告書」を作成し提供します。

なお、本業務は、「ISMAP情報セキュリティ監査ガイドライン」および「ISMAP標準監査手続」に準拠して手続を実施し、その結果を事実に即して報告することが目的であり、手続実施結果から導かれる結論の報告や保証を提供するものではありません。

（本業務の特質の詳細については、「ISMAP情報セキュリティ監査ガイドライン（外部リンク）」（第1章 総則 1.2 本制度における監査業務の特質）を ご参照ください。）

 2. 「ISMAPクラウドサービスリスト」登録申請に向けた準備段階における予備調査業務

当法人は、クラウドサービス事業者が自社のクラウドサービスを「ISMAPクラウドサービスリスト」へ登録申請するための準備段階における予備調査業務を提供します。

予備調査業務では、主に以下を実施します。

• 言明書等のサービス登録申請に必要な文書の不備を指摘すること
• 文書の改訂漏れに関するコメントを与えること

トーマツの強み

当法人は、情報セキュリティや情報システムの管理態勢に対する第三者評価業務、SOC報告書発行業務等を長年に渡って提供し続けており、情報セキュリティ対策の実施状況に対する豊富な知見と実績を有しています。また、Deloitteグローバルネットワークの一員であり、グローバルベースの知見と実績を有したプロフェッショナルが多数在籍しています。

本サービスは、このような豊富な知見と実績に加え、クラウドコンピューティングに関する知見、情報セキュリティ関連資格の保有等、本制度の要求事項を満たしたプロフェッショナルによって提供します。

当法人は、2020年8月20日に、ISMAP運営委員会による登録決定を受け、ISMAP監査機関（外部リンク）として登録されました。