舉辦網路研討會：進入公共SaaS市場必須取得ISMAP嗎？從審計費用、工時與時程實況，整理註冊決策的關鍵資訊

■ 公共雲端採購中的ISMAP註冊門檻：SaaS業者的當務之急
自2018年政府提出「雲端優先原則（Cloud by Default）」以來，雲端服務的使用已成為政府資訊系統採購的標準方針。隨之而來的是2020年啟動的ISMAP（政府資訊系統安全評估制度），旨在預先評估並註冊符合政府安全標準的雲端服務。各府省廳原則上皆採取從ISMAP雲端服務清單中進行採購的方針，對於目標為公共領域的SaaS業者而言，ISMAP註冊正逐漸成為事實上的進入門檻。
此外，ISMAP的應用範圍已不僅限於中央省廳，地方自治體也正擴大採用註冊服務作為原則，預計未來ISMAP註冊與否將直接影響投標成功率。隨著公共雲端市場的擴大，針對自家SaaS服務進行ISMAP註冊已成為業者刻不容緩的任務。

■ 「有ISMS就夠了」是誤解：ISMAP註冊因作業與規範差異，導致工時與費用難以預估
許多已取得ISMS（ISO 27001）或ISMS雲端安全認證（ISO 27017）的企業，常誤以為「在既有基礎上即可應對ISMAP註冊」。然而，ISMAP的管理基準除了JIS Q 27000系列外，還納入了政府統一基準與NIST SP800-53的要素，要求管理的項目高達約1,200項。儘管要求事項形式相似，但文件化規範、證據保存方式及審計應對方法皆有顯著差異，因此上述假設往往容易陷入誤區。
此外，ISMAP註冊需經過聲明書製作、第三方審計機構審查、營運實績累積等多個步驟，無法在短時間內完成。值得注意的是，ISMAP註冊僅是站上投標起跑線的必要條件，能否實際得標或符合獲利預期，仍需企業根據自身經營計畫進行判斷。然而，許多企業因無法掌握具體的作業量、費用、工時與時程全貌，導致在缺乏向經營層說明材料的情況下，將評估工作一再擱置。

■ 跨規模支援實績 × 現場陪伴：系統化註冊規範，提供全程一貫支援
本次研討會中，網際網路隱私研究所將針對公共雲端採購中ISMAP的定位、註冊要求全貌、與ISMS的落差，以及註冊所需的時程、費用與工時路線圖進行解說。
網際網路隱私研究所是在資訊安全與個人資料保護領域擁有25年實績的諮詢公司。在ISMAP註冊申請支援方面，具備從約1,200項管理措施應對到申請文件製作的完整支援體制，提供從準備階段到註冊完成的一貫陪伴式支援。不僅支援大型雲端業者，亦有中型SaaS企業的輔導實績，其特色在於不分企業規模，深入現場進行作業的陪伴式支援風格。
歡迎希望掌握註冊費用、工時與時程全貌，理解ISMAP要求水準與實務難點，以及需要向經營層說明註冊決策材料的人士踴躍參加。