分享
'%3e%3cpath%20d='M12.8276%205.73367L12.5096%208.74976H10.0987V17.4995H6.47736V8.74976H4.67285V5.73367H6.47736V3.91783C6.47736%201.46481%207.49748%200%2010.3973%200H12.807V3.01609H11.299C10.1739%203.01609%2010.0987%203.44123%2010.0987%204.22665V5.73367H12.8276Z'%20fill='%2398A2B3'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_162_3194'%3e%3crect%20width='17.4995'%20height='17.4995'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
'%3e%3cpath%20d='M6.91992,6l14.2168,20.72656l-14.9082,17.27344h3.17773l13.13867,-15.22266l10.44141,15.22266h10.01367l-14.87695,-21.6875l14.08008,-16.3125h-3.17578l-12.31055,14.26172l-9.7832,-14.26172z'%3e%3c/path%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
日本政府雲端服務採購之資訊系統安全性管理與評估計畫簡介
日本政府為解決各政府機關於採購雲端服務產品時,因無針對雲端服務訂有統一的資訊安全標準,各採購機關以「政府機構等基於資訊安全措施之統一基準」規定為基礎,訂立機關內部各自的雲端服務資訊安全標準,除因此導致機關間標準不一致外,亦可能發生機關各自訂定之雲端服務標準與資訊安全規定不符合;縱使各機關審查雲端服務之標準皆相同,惟各機關就相同品項雲端服務產品各自進行重複性審查,將耗費大量人力及行政成本。因此為使日本政府機關採購雲端服務產品得以採行統一的安全標準,並建立安全授權標準及流程,日本政府於2020年開始實施「資訊系統安全性管理與評估計畫(Information system Security Management and Assessment Program,簡稱ISMAP)」制度。
制度背景
2018年日本政府於部會首席資訊長(CIO)聯絡會議中提出「政府資訊系統使用雲端服務相關之基本方針」,內容提及政府資訊系統應以使用雲端服務為原則,並建議參考其他國家建立的雲端服務產品安全評估制度,並於2019年日本內閣網路安全中心的網路安全戰略本部會議中決定ISMAP制度的基本架構、構想、制度主管機關與運行方式,後於2020年ISMAP制度開始運作。
ISMAP組織架構
本制度的最高管理機關為ISMAP營運委員會,由內閣網路安全中心(National Center of Incident Readiness and Strategy for Cybersecurity)、數位廳(Digital Agency)、總務省(Ministry of Internal Affairs and Communications)、經濟產業省(Ministry of Economy, Trade and Industry)及專家學者共同組成,營運委員會設置於內閣府網路安全中心之下,其主要職責為ISMAP制度的制訂、修改及廢止、雲端服務廠商清單的登錄及移除、ISMAP第三方檢測機構清單的登錄及移除等等,並向內閣網路安全中心報告制度的運作情形。ISMAP另設立秘書室於內閣網路安全中心之下,主要負責定期召開委員會會議、公布委員會決議等行政事項。
除營運委員會外,有關制度運作涉及實務運用及技術評估之部分,由獨立行政法人情報處理推進機構(Information-technology Promotion Agency Japan, IPA)負責,其中與第三方檢測機構相關的評估及管理業務,IPA則委由對於資訊安全更為熟悉的日本資訊安全審計協會(Japan Information Security Audit Association, JASA)負責。
圖1 ISMAP組織架構圖
資料來源:本文作者自行整理
ISMAP制度運作流程
由第三方檢測機構先行向ISMAP營運委員會提出登錄申請,營運委員會進行第三方檢測機構遴選並登錄於第三方檢測機構清單,雲端服務廠商如欲登錄於ISMAP的雲端服務清單中,須製作陳述書等文件向通過遴選的第三方檢測機構提出委託檢測,由第三方檢測機構進行檢測並提交檢測報告書,雲端服務廠商取得報告書後,可向ISMAP營運委員會提出雲端服務清單登錄申請,通過申請之雲端服務廠商,可被登錄於ISMAP雲端服務清單當中,日本政府機關如欲採購雲端服務產品時,可參考雲端服務清單內的雲端服務廠商辦理採購。
雲端服務廠商納入ISMAP雲端服務清單後,仍須定期(自登錄於雲端服務清單之最末日起算至1年4個月後)進行換照檢測,雲端服務廠商向第三方檢測機構提出委託申請換照並製作聲明書,由第三方檢測機構實施檢測並提交報告書,取得報告書的雲端服務廠商可向ISMAP營運委員會提出換照審查,通過審查者可繼續登錄於雲端服務清單中,未通過者則會被刪除。
另於2022年針對雲端服務產品中風險影響程度較低的SaaS產品,另增設ISMAP - LIU(Information system Security Management and Assessment Program for Low-Impact Use)制度。與ISMAP制度的主要差異在於:
- 欲申請ISMAP-LIU制度的雲端服務廠商及利用該雲端服務的政府機關,參照「對象業務一覽表」進行機關業務與資訊影響程度評估。
- 雲端服務廠商須事前提出申請,並由利用該項雲端服務產品之政府機關提出機關業務與資訊影響程度評估結果。
- 確認SaaS產品對業務影響程度較小後,可減少第三方檢測機構的檢測範圍。
- 登錄於ISMAP-LIU之雲端服務廠商須至少每3年完成一次ISMAP全部控制措施的內部檢查,並提交檢測報告結果
FIND觀點
筆者以為日本針對政府機關使用的雲端服務產品提出ISMAP制度,納入客觀且更具資訊安全專業之第三方檢測機構,對雲端服務產品進行檢測,相較機關採購人員自行評估,更能確保產品是否符合資訊安全標準。日後我國得以日本ISMAP制度為借鏡,評估研擬跨部會之雲端服務採購管理機制措施,除可促進各機關雲端服務採購之品質及安全性有更明確、有效益的把關,亦可加深機關與產業間交流,增加彼此合作機會。
封面圖片來源:unsplash(https://unsplash.com/s/photos/restaurant)
參考資料來源:
https://www.nisc.go.jp/policy/group/general/ismap.html
https://www.ismap.go.jp/csm?id=csm_ismap_index
林鈺禎
2024-12-27
