■ 公共云端采购中的ISMAP注册门槛:SaaS业者的当务之急 自2018年政府提出「云端优先原则(Cloud by Default)」以来,云端服务的使用已成为政府信息系统采购的标准方针。随之而来的是2020年启动的ISMAP(政府信息系统安全评估制度),旨在预先评估并注册符合政府安全标准的云端服务。各府省厅原则上皆采取从ISMAP云端服务清单中进行采购的方针,对于目标为公共领域的SaaS业者而言,ISMAP注册正逐渐成为事实上的进入门槛。 此外,ISMAP的应用范围已不仅限于中央省厅,地方自治体也正扩大采用注册服务作为原则,预计未来ISMAP注册与否将直接影响投标成功率。随着公共云端市场的扩大,针对自家SaaS服务进行ISMAP注册已成为业者刻不容缓的任务。 ■ 「有ISMS就够了」是误解:ISMAP注册因作业与规范差异,导致工时与费用难以预估 许多已取得ISMS(ISO 27001)或ISMS云端安全认证(ISO 27017)的企业,常误以为「在既有基础上即可应对ISMAP注册」。然而,ISMAP的管理基准除了JIS Q 27000系列外,还纳入了政府统一基准与NIST SP800-53的要素,要求管理的项目高达约1,200项。尽管要求事项形式相似,但文档化规范、证据保存方式及审计应对方法皆有显著差异,因此上述假设往往容易陷入误区。 此外,ISMAP注册需经过声明书制作、第三方审计机构审查、营运实绩累积等多个步骤,无法在短时间内完成。值得注意的是,ISMAP注册仅是站上投标起跑线的必要条件,能否实际得标或符合获利预期,仍需企业根据自身经营计划进行判断。然而,许多企业因无法掌握具体的作业量、费用、工时与时程全貌,导致在缺乏向经营层说明材料的情况下,将评估工作一再搁置。 ■ 跨规模支持实绩 × 现场陪伴:系统化注册规范,提供全程一贯支持 本次研讨会中,互联网隐私研究所将针对公共云端采购中ISMAP的定位、注册要求全貌、与ISMS的落差,以及注册所需的时程、费用与工时路线图进行解说。 互联网隐私研究所是在信息安全与个人数据保护领域拥有25年实绩的咨询公司。在ISMAP注册申请支持方面,具备从约1,200项管理措施应对到申请文档制作的完整支持体制,提供从准备阶段到注册完成的一贯陪伴式支持。不仅支持大型云端业者,亦有中型SaaS企业的辅导实绩,其特色在于不分企业规模,深入现场进行作业的陪伴式支持风格。 欢迎希望掌握注册费用、工时与时程全貌,理解ISMAP要求水准与实务难点,以及需要向经营层说明注册决策材料的人士踊跃参加。