政府調達のセキュリティゲート
技術ツールの政府調達プロセスは、セキュリティ認証によって最も体系的に制限されています。クラウドサービスの米国連邦契約にはFedRAMP(連邦リスクおよび認可管理プログラム)認証が必要であり、このプロセスは通常12〜24ヶ月かかり、コンプライアンス準備に数十万ドルの費用がかかります。ほとんどのソフトウェアベンダーはFedRAMP認証を追求せず、実質的に米国連邦調達から除外されています。
EUの政府機関にとって、同等の標準はISO 27001であり、国固有の認証(ドイツのクラウドサービス向けのBSI C5、フランスの機密政府データ向けのSecNumCloud)と組み合わせて使用されることがよくあります。個人データを扱うソフトウェアのUK政府調達には、通常、ISO 27001が基準として必要であり、政府システムへの直接アクセスを持つツールにはCyber EssentialsまたはCyber Essentials Plusが追加要件として求められます。
実際の意味:ISO 27001認証を持たないSaaSツールは、その機能的能力、価格、評判に関係なく、EUおよびUKの政府調達において考慮されることは通常ありません。セキュリティゲートは機能評価の前に適用されます。
州および地方政府市場
州および地方政府機関および国際政府機関(EU機関、UN機関、NATO)は、通常、国家政府よりも柔軟な調達ルールを持っています。多くは、国固有の認証プログラムを要求するのではなく、ISO 27001をセキュリティの基準として受け入れています。
居住者の個人データを処理する地方政府機関(市議会、地域当局、公衆衛生機関)にとって、GDPRコンプライアンスは、適切な技術的措置を実施するデータ処理者を選択することを要求します。ISO 27001認証は、政府調達の文脈でこれらの措置を示すための標準的なメカニズムです。
下流の政府契約要件
政府契約を持つ組織は、しばしば「プライム契約」データ保護要件を持ち、これが下請け業者や技術ベンダーに流れます。政府関連データを処理する防衛請負業者は、プライム契約に基づいてデータ処理にISO 27001認証を受けたソフトウェアのみを使用することが求められる場合があります。EU機関のサービスプロバイダーは、プロジェクトデータに関わるツールに対して同様の要件に直面する可能性があります。
このプライム契約の流れは、ISO 27001認証が直接の政府調達機会だけでなく、プライム請負業者への技術ベンダー、政府クライアントにサービスを提供するコンサルタント、政府関連組織を顧客に持つ技術リセラーなど、はるかに大きな間接的な政府市場も開くことを意味します。
UK政府機関のデジタルトランスフォーメーションプログラムは、すべてのベンダーにISO 27001を要求し、別のセキュリティ評価なしでツールを即座に承認できます。この認証が証拠パッケージとなります。ベンダーのセキュリティ評価の遅延によってプロジェクトのタイムラインが延長されることはありません。
出典: