政府情報システムのためのセキュリティ評価制度（ISMAP）ではCSPがISMAP登録のために満たさなければならないルールや管理体制等について1000項目を超える「管理策基準」があり、導入について高いハードルが課せられております。 しかし、これら全てを満たすことは運用がかえって阻害されてしまうこともあります。よって、CSP は自身の提供するサービス内容に照らし、合理的な適用が不可能な統制目標（3 桁管理策）については、その理由を示すことで対象外とすることができます。 なお、ガバナンス基準及びマネジメント基準は、原則として全て実施しなければなりませんが。管理基準は、統制目標とされる 3 桁管理策(A.X.X.X)と、それを達成するための手段となる詳細管理策である 4 桁管理策(A.X.X.X.X)で構成されており、原則として3桁管理策を必須、4 桁管理策を選択的とし、「一部の重要な管理策」を必