セキュリティ
政府セキュリティ評価制度ISMAP登録コンサルティング
すでに政府機関がクラウドサービスを利用中の場合、2021年9月30日までに登録申請が必要です!
今後政府機関へクラウドサービスを導入予定の場合、利用開始から1年以内に登録申請が必要です!
※独立行政法人情報処理推進機構様ホームページ「政府情報システムのためのセキュリティ評価制度(ISMAP)」の「今後のスケジュール(イメージ)」より引用。
https://www.ismap.go.jp/csm?id=kb_article_view&sysparm_article=KB0010005
サービス概要
■ISMAP登録支援コンサルティング
登録申請・登録審査の開始の前に、ISMAP登録支援コンサルティングを提供します。
ISO/IEC 27017 ISMSクラウドセキュリティ認証取得コンサルティング、クラウド情報セキュリティ監査制度(CSマーク)取得支援を提供しているNTTテクノクロスは、これまでの知見を生かし、クラウドサービスを提供する事業者(クラウドサービスプロバイダ)様のスムーズなISMAP登録を支援します。
ご要望に応じて、ISMAP管理基準に対応した情報セキュリティ監査サービスを提供します。(*1)
サービス特長
特長1:ISMAP対応への充実支援
■1000項目を超える管理策が要求されるISMAP管理基準への対応をサポート
ISO/IEC 27017認証やCSマーク認証より遥かに多い、1000項目を超える管理策が要求されるため、ISMAP登録にはさらに専門的な知識が不可欠です。登録において、適用範囲や要求事項・管理策の解釈など専門知識がないと判断が難しい点を、これまでのクラウドサービスのセキュリティ認証取得コンサルティングの実績を生かして、具体的にアドバイスします。
特長2:豊富なクラウドセキュリティコンサルティング実績
ISMAPに関連の深いISO/IEC 27017とクラウド情報セキュリティ監査制度(CSマーク)の認証取得コンサルティング実績が多数あります。
ISO/IEC 27017ISMSクラウドセキュリティ認証取得支援 については、こちらへ>>
クラウド情報セキュリティ監査制度(CSマーク)取得支援 については、こちらへ>>
クラウドサービスの開発・運用業務ノウハウにより、ISMAPに対応する際に、現場において実装・運用しやすい管理策を助言・提案します。
特長3:専門ノウハウと経験豊かなコンサルタントによる支援
当社のコンサルタントは、以下のようなクラウドセキュリティ規格の標準化活動に参加、貢献しています。これらの活動で得た知識や最新動向も活用したコンサルティングをおこないます。
-クラウドセキュリティJIS原案作成委員会
-ISO/IEC 27000シリーズの国際規格制定のためのSC27WG1小委員会
-JASA-クラウドセキュリティ推進協議会(JCISPA) ワーキンググループ活動
-経済産業省 平成26年度サイバーセキュリティ経済基盤構築事業 クラウドセキュリティ監査制度の見直し 等
コンサルタントが執筆に参加したISO/IEC 27017:2015の解説書籍はこちらへ>>
「ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範 解説と活用ガイド」
ISMS審査員資格、情報セキュリティ監査人資格等を所持するコンサルタントが、認証取得を支援します。
ISMAP(イスマップ)とは
Information system Security Management and Assessment Programの通称。
内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)・総務省・経済産業省が所管となり、2018年8月から検討を進めています。本制度は、情報セキュリティ監査の枠組みを活用した評価プロセスに基づいて、本制度で定められた基準に基づいたセキュリティ対策を実施していることが確認されたクラウドサービスを、本制度が公表するクラウドサービスリストに登録するものです。
また、本制度における監査を行うことができる監査機関についても、あらかじめ本制度で定める監査機関に対する要求事項を満たすことが確認され、本制度が公表する監査機関リストに登録するものとしています。
本制度により、各政府機関等が、一定の情報セキュリティ対策の実施が確認されたクラウドサービスを効率的に調達することが可能となることが期待されます。
■1000項目を超える管理策が要求されるISMAP管理基準
ISMAP管理基準とはクラウドサービスリストへ登録の際、クラウドサービスに課すセキュリティ対策の要求事項(管理策)です。
クラウドサービスはセキュリティ対策の実施状況について監査機関の監査を受ける必要があります。
ISMAP要求事項のポイント
・ISO/IEC 27001、ISO/IEC 27017にはない管理策として、組織としての情報セキュリティ・ガバナンスを整備・運用する必要があります。
詳しくは独立行政法人情報処理推進機構様ホームページ「政府情報システムのためのセキュリティ評価制度(ISMAP)」をご参照下さい。
https://www.ismap.go.jp
(*1)情報セキュリティ監査サービスについて 本コンサルティングにおいて、ISMAPにおける内部監査の位置づけで情報セキュリティ監査サービスを提供します。 情報セキュリティ監査サービスは、「情報セキュリティサービス基準」に準拠します。 |