情報セキュリティ監査サービス

制度の概要

ISMAPは、政府情報システムにおけるクラウドサービスのセキュリティ評価制度です。政府が求めるセキュリティ要求を満たすクラウドサービスを事前に評価・登録し、ISMAPクラウドサービスリストに掲載することで、政府機関等の調達時にセキュリティ水準を確保します。評価基準はISO/IEC 27001やNIST SP800シリーズを参照し、ガバナンス・マネジメント・管理策の3階層で構成されています。

初回登録までの流れ

• 1. 準備・内部統制整備: ISMAP管理基準に沿って統制を整備し、言明書を作成
• 2. 監査機関選定・契約: ISMAP監査機関リストから選定し契約
• 3. 監査実施: 標準監査手続に基づき整備状況・運用状況を評価
• 4. 報告書提出・審査: 監査結果報告書を添えて申請
• 5. 登録・公開: ISMAPクラウドサービスリストに掲載

当社が提供するサービス

• 1. 予備調査
  本監査前に統制整備・運用状況を確認し、改善点を整理。監査に向けた準備状況を評価し、課題を明確化。
• 2. 本番監査
  ISMAP管理基準に基づき、整備状況・運用状況を標準監査手続で評価。制度要件に沿った外部監査を実施。
• 3. 実施報告書作成
  監査結果を取りまとめた報告書を作成。

制度の概要

ISMAP-LIUは、ISMAPの枠組みのうち、セキュリティリスクが小さい業務・情報の処理に用いるSaaSサービスを対象とした制度です。外部監査の対象範囲を重要管理策に絞り込み、内部監査報告を義務付けることで、過剰なセキュリティ要求を回避しつつ、政府調達における安全性を確保します。登録後はISMAPクラウドサービスリストに掲載されます。

初回登録までの流れ

• 1. 影響度評価：ISMAP-LIUに該当するSaaSサービスであるかを評価する
• 2. 準備・内部統制整備: ISMAP管理基準に沿って統制を整備し、言明書を作成
• 3. 監査機関選定・契約: ISMAP監査機関リストから選定し契約
• 4. 監査実施: 標準監査手続に基づき整備状況・運用状況を評価
• 5. 報告書提出・審査: 監査結果報告書を添えて申請
• 6. 登録・公開: ISMAP-LIUクラウドサービスリストに掲載

当社が提供するサービス

• 1. 予備調査
  本監査前に統制整備・運用状況を確認し、改善点を整理。監査に向けた準備状況を評価し、課題を明確化。
• 2. 本番監査
  ISMAP管理基準に基づき、整備状況・運用状況を標準監査手続で評価。制度要件に沿った外部監査を実施。
• 3. 監査結果を取りまとめた報告書を作成。

SOC報告書の概要

SOC報告書は、サービス提供事業者（受託会社）の内部統制の有効性を第三者が保証する報告書で、日本では日本公認会計士協会「保証業務実務指針3402」に準拠して作成されます。主に財務報告に関連する業務を対象とし、委託会社やその監査人が、受託会社の統制状況を評価する際の信頼性を確保するために活用されます。

当社が提供するサービス

• 1. 予備調査（事前診断）
• 対象業務の範囲確認と統制目標の整理
• 言明書や証跡の準備状況を確認し、ギャップ分析を実施
• 必要な改善点を事前に提示し、保証業務をスムーズにする支援
• 2. 保証業務の実施: 重要管理策を対象に保証業務を実施
• 設計有効性（Type I）および運用有効性（Type II）の評価
• 統制の整備状況・運用状況を確認し、証跡を検証
• ヒアリングやテストを通じて、基準適合性を確認
• 3. 報告書作成
• 評価結果を整理し、保証意見を付したSOC報告書を作成
• 委託会社監査人が利用可能な形式で提供
• 必要に応じて改善提案をフィードバック