デジタル庁

「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集を行います

内閣官房内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省は、ISMAP(政府情報システムのためのセキュリティ評価制度)の枠組みにおいて、セキュリティ上のリスクの小さな業務・情報の処理に用いるSaaSに対するISMAP for Low-Impact Use(ISMAP-LIU)の仕組みを策定します。今般、関連する諸規程を作成・修正しましたので、令和4年6月15日(水)から同年7月5日(火)までの間、意見を募集します。

1. 背景・趣旨

ISMAPの制度所管省庁(内閣官房内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省)は、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組み」(令和2年1月30 日サイバーセキュリティ戦略本部決定)に基づき、「政府情報システムのためのセキュリティ評価制度」(英語名:Information system Security Management and Assessment Program、以下「ISMAP」)を運用しております。

ISMAPが対象としている機密性2情報を扱う情報システムは IaaS、PaaS、SaaS と多岐にわたるところ、中でもSaaSはサービス幅が広く、用途や機能が極めて限定的なサービスや、機密性2情報の中でも比較的重要度が低い情報のみを取り扱うサービス等リスクが低いサービスもあり、それらのサービスについて現行のISMAPと一律の取扱いとした場合、過剰なセキュリティ要求となる場合も考えられます。

このため、ISMAPの枠組みをベースとして、機密性2情報を扱うSaaSのうち、セキュリティ上のリスクの小さな業務・情報の処理に用いるものに対する仕組みとしてISMAP-LIU(イスマップ・エルアイユー(英語名:ISMAP for Low-Impact Use))を策定することとしました。

今般、ISMAP-LIUにおいて用いる規程として作成した「ISMAP-LIUクラウドサービス登録規則(案)」及び既存の規程の変更箇所について、幅広い御意見を頂くべく、令和4年6月15日(水)から同年7月5日(火)までの間、意見を募集することとします。

2. パブリックコメント対象資料

  • 「ISMAP-LIUクラウドサービス登録規則(案)」のうち、従来の「ISMAPクラウドサービス登録規則」から新しく追加された箇所(第3章~第6章、第7章、第13章、様式1-2のうち対象SaaSのセキュリティに係る情報、別紙2)
  • 「政府情報システムのためのセキュリティ評価制度(ISMAP)基本規程」のうち改定箇所(第1章、第2章、第3章、第5章、第6章)
  • 「ISMAPクラウドサービス登録規則」のうち改定箇所(第1章)
  • 「ISMAP管理基準」のうち改定箇所(第1章、第2章)
  • 「ISMAP標準監査手続」のうち改定箇所(第3章、別紙3)
  • 「ISMAP情報セキュリティ監査ガイドライン」のうち改定箇所(第1章、第4章)

参考資料

  • 意見募集の対象ではありませんが、上記意見募集対象の参考としてください。
  • ISMAP-LIUについて(案)
  • ISMAP-LIUクラウドサービス登録規則(案)のうち内部監査に係る報告書様式及び政府機関等における影響度評価基準(様式2-3及び様式2-3別紙、別紙1)
  • ISMAP for Low-Impact Useにおける業務・情報の影響度評価ガイダンス(案)

※各資料は、電子政府の総合窓口(e-gov)の「パブリックコメント」欄に掲載しています。

3. パブリックコメントの詳細

意見提出方法等の詳細は、意見公募要領をご覧ください。
※意見公募要領は、電子政府の総合窓口(e-gov)の「パブリックコメント」欄に掲載しています。

4. パブリックコメント期間

令和4年6月15日(水)から7月5日(火)※
※日本時間7月5日(火)23時59分まで受け付けます。

5. 参考

「デジタル社会の実現に向けた重点計画」(令和4年6月7日閣議決定) 抜粋
第5 デジタル化の基本戦略
4. サイバーセキュリティ等の安全・安心の確保
① サイバーセキュリティの確保

「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定 令和3年9月27日一部改正)抜粋
1 本制度の基本的な枠組み
3 本制度の所管と運用体制

シェアする: