ISMAPは「Information system Security Management and Assessment Program」の略語であり(イスマップ)と呼ばれる。ISMAPは、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録し、各政府機関は原則、安全性が評価され「登録簿」に掲載されたサービスから調達をおこなうことで、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的とした制度である。
制度策定の背景として、クラウドサービスプロバイダに要求する統一的なセキュリティ要求基準が存在せず、各政府機関等が調達の際に、個別にプロバイダのセキュリティ対策を確認し調達を行っている現状があった。このような状況に対して「サイバーセキュリティ戦略」(平成30年7月27日閣議決定)において、「クラウド化の推進に当たっては、安全性評価など、適切なセキュリティ水準が確保された信頼できるクラウドの利用を促進する方策について検討し、対策を進める」ことが位置付けられ、その推進のために本制度が策定された。
ISMAPは内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営しており、IPA(独立行政法人情報処理推進機構)が本制度の制度運用に係る実務及び評価に係る技術的な支援を行っている。
各政府機関等は、クラウドサービスを調達する際には、本制度において登録されたサービスから調達することが原則とされており、クラウドサービスプロバイダを中心にISAMPへの対応、取得の取り組みが進んでいる。2021年3月12日にはIPAよりISMAPクラウドサービスリストとして10サービスが公開された。
