日本強化雲端服務採購安全性,ISMAP機制再進化
日本強化雲端服務採購安全性,ISMAP機制再進化
(中央社訊息服務20250327 14:46:50)日本內閣府於2020年開始推動資訊系統安全性管理與評估計畫(Information system Security Management and Assessment Program, ISMAP),目的為解決日本政府機關採購雲端服務時,各機關重複性且未必符合資訊安全規定的審查流程問題,並同時建立統一的安全標準。2024年8月起,為改善雲端服務廠商登錄、更新申請費時冗長等問題,對於已取得資訊安全管理系統(Information Security Management System, ISMS)驗證證書之雲端服務廠商,在證書有效期內可適用較簡化之新程序,並減少審核項目以提升審核速度及減輕第三方檢測機構負擔。
ISMAP機制重要特色為納入獨立的第三方檢測機構角色。參與ISMAP的雲端服務廠商初次提出登錄申請需填寫聲明書,內容為雲端服務廠商資訊安全的治理基準、管理基準及管理措施基準等資訊,並由第三方檢測機構負責審核聲明書內容,通過後雲端服務廠商須向ISMAP營運委會提交公司資本結構、董事資料、滲透測試報告及第三方檢測機構審核結果等文件,通過之雲端服務廠商產品可登錄於ISMAP清單中,政府機關即可參考清單選擇符合需求者辦理採購,大幅節省採購機關對雲端服務廠商及產品之審核流程;ISMAP清單登錄有效期限為1年4個月,雲端服務廠商須於期限屆至前更新審核,才可持續登錄於清單中,以確保機關採購人員採購之雲端服務產品具備一定的資訊安全標準。2024年8月取得ISMS的雲端服務廠商,於管理基準更新審核時,可採行多年完成全部審核事項之新程序,以減少單次完整審核管理基準所花費之時間,加速審核流程。
前述治理基準係參考JIS Q27014:2015訂定而成,主要為要求雲端服務廠商領導階層應實施事項;管理基準則以「雲端資訊安全管理基準(クラウド情報セキュリティ管理基準,參考日本國家標準JIS Q 27001:2014、JIS Q 27002:2014、JIS Q 27017:2016編製而成)」為基礎,同時參考「政府機構等資訊安全措施的統一標準(政府機関等の情報セキュリティ対策のための統一基準群)」及美國國家標準與技術研究院之「適用於資訊系統與組織的安全及隱私控制措施(NIST SP 800-53 Rev.4)」,其目的為要求雲端服務廠商管理階層的應實施事項;最後管理措施基準則是為組織中資訊安全管理措施提供參考指引,並根據風險因子提供管理措施的選項。
資策會科技法律研究所觀察,日本ISMAP機制係參考美國聯邦政府採購雲端服務之風險與授權管理機制(The Federal Risk and Authorization Management Program)訂定,目的皆為解決政府機關採購雲端服務產品重複審查且安全標準評估不一致問題。政府數位轉型為現今國際上大部分國家持續推行之政策目標,政府機關導入雲端服務等新興科技時,亦須事先考量其潛在的資訊安全風險並有持續性的管控措施,日本ISMAP機制設計導入第三方檢測機構方式評估雲端服務廠商內部資訊安全管理機制,除了提升日本政府機關及雲端服務廠商供需兩端之媒合效益,也確保政府機關使用雲端服務之安全性,同時引導廠商持續自我檢視資安管理作為;ISMAP機制後續發展及相關配套措施值得持續追蹤。
(中央社訊息服務20250327 14:46:50)日本內閣府於2020年開始推動資訊系統安全性管理與評估計畫(Information system Security Management and Assessment Program, ISMAP),目的為解決日本政府機關採購雲端服務時,各機關重複性且未必符合資訊安全規定的審查流程問題,並同時建立統一的安全標準。2024年8月起,為改善雲端服務廠商登錄、更新申請費時冗長等問題,對於已取得資訊安全管理系統(Information Security Management System, ISMS)驗證證書之雲端服務廠商,在證書有效期內可適用較簡化之新程序,並減少審核項目以提升審核速度及減輕第三方檢測機構負擔。
ISMAP機制重要特色為納入獨立的第三方檢測機構角色。參與ISMAP的雲端服務廠商初次提出登錄申請需填寫聲明書,內容為雲端服務廠商資訊安全的治理基準、管理基準及管理措施基準等資訊,並由第三方檢測機構負責審核聲明書內容,通過後雲端服務廠商須向ISMAP營運委會提交公司資本結構、董事資料、滲透測試報告及第三方檢測機構審核結果等文件,通過之雲端服務廠商產品可登錄於ISMAP清單中,政府機關即可參考清單選擇符合需求者辦理採購,大幅節省採購機關對雲端服務廠商及產品之審核流程;ISMAP清單登錄有效期限為1年4個月,雲端服務廠商須於期限屆至前更新審核,才可持續登錄於清單中,以確保機關採購人員採購之雲端服務產品具備一定的資訊安全標準。2024年8月取得ISMS的雲端服務廠商,於管理基準更新審核時,可採行多年完成全部審核事項之新程序,以減少單次完整審核管理基準所花費之時間,加速審核流程。
前述治理基準係參考JIS Q27014:2015訂定而成,主要為要求雲端服務廠商領導階層應實施事項;管理基準則以「雲端資訊安全管理基準(クラウド情報セキュリティ管理基準,參考日本國家標準JIS Q 27001:2014、JIS Q 27002:2014、JIS Q 27017:2016編製而成)」為基礎,同時參考「政府機構等資訊安全措施的統一標準(政府機関等の情報セキュリティ対策のための統一基準群)」及美國國家標準與技術研究院之「適用於資訊系統與組織的安全及隱私控制措施(NIST SP 800-53 Rev.4)」,其目的為要求雲端服務廠商管理階層的應實施事項;最後管理措施基準則是為組織中資訊安全管理措施提供參考指引,並根據風險因子提供管理措施的選項。
資策會科技法律研究所觀察,日本ISMAP機制係參考美國聯邦政府採購雲端服務之風險與授權管理機制(The Federal Risk and Authorization Management Program)訂定,目的皆為解決政府機關採購雲端服務產品重複審查且安全標準評估不一致問題。政府數位轉型為現今國際上大部分國家持續推行之政策目標,政府機關導入雲端服務等新興科技時,亦須事先考量其潛在的資訊安全風險並有持續性的管控措施,日本ISMAP機制設計導入第三方檢測機構方式評估雲端服務廠商內部資訊安全管理機制,除了提升日本政府機關及雲端服務廠商供需兩端之媒合效益,也確保政府機關使用雲端服務之安全性,同時引導廠商持續自我檢視資安管理作為;ISMAP機制後續發展及相關配套措施值得持續追蹤。
- 記者:中央社
- 更多生活新聞 »
