« ドイツの情報セキュリティ標準 BSI standard 200-4 Business Continuity Management ドラフトの意見募集 | Main | 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである »

2021.01.21

StateRAMPはFedRAMPの州政府、自治体版?

こんにちは、丸山満彦です。

米国では、StateRAMPという非営利団体が、州政府向けにFedRAMPのようなサービスを提供するようですね。。

StateRAMPのしくみは...

  1. クラウドサービスプロバイダー(CSP)が州政府のサイバーセキュリティポリシーを満たしていることを検証するためのメカニズムを州政府に提供するプラットフォーム。

  2. 州が安全でないクラウドソリューションによるサイバーリスクを軽減し、データを保護するのに役立つ。
    FedRAMPと同様に、クラウドアプリケーションのサイバー対応を検証するための標準化されたアプローチを提供し、サイバーセキュリティプロセスを簡素化する。

  3. CSPのセキュリティステータスを保存、維持、公開し、州政府や自治体に、ステータスの更新やコンプライアンスの変更とともにCSPサイバーセキュリティ認定にアクセスするためのソースを提供する。

ということのようですね。。。

StateRAMP

評価のための文章

・Resources - Documents

2021.01.08 StateRAMP Security Assessment Framework (Ver1.2) This document provides a summary of the objectives, goals, and governance approach of StateRAMP, along with an outlined methodology to verify cloud security.
2020.12.08 StateRAMP Proposed Bylaws This framework for bylaws was developed by the StateRAMP Steering Committee. As the Board of Directors is formed in late 2020, one of their first actions will be to adopt the bylaws for the organization.

 

Srlogocircle01300x300

StateRAMP Security Assessment Framework (Ver1.2)の目次は、、、

↓↓↓↓↓

StateRAMP Security Assessment Framework (Ver1.2)

Table of Contents 目次
DOCUMENT REVISION HISTORY ドキュメント改訂の歴史
EXECUTIVE SUMMARY エグゼクティブ・サマリー
1. STATERAMP OVERVIEW 1. StateRAMPの概要
1.1 PURPOSE 1.1 目的
1.2 PILOT PROGRAM 1.2 パイロットプログラム
1.3 APPLICABLE STANDARDS AND GUIDANCE 1.3 適用される基準と指針
1.4 GOVERNANCE & STAKEHOLDERS 1.4 統治と利害関係者
1.4.1 BOARD OF DIRECTORS 1.4.1 取締役会
1.4.2 STANDARDS & TECHNICAL COMMITTEE 1.4.2 標準・技術委員会
1.4.3 APPEALS COMMITTEE 1.4.3 上訴委員会
1.4.4 CORPORATE COMMUNITY COMMITTEE 1.4.4 企業コミュニティ委員会
1.4.5 PROGRAM MANAGEMENT OFFICE 1.4.5 プログラム管理室
1.4.6 STATE AND LOCAL GOVERNMENTS 1.4.6 州政府および地方自治体
1.4.7 THIRD PARTY ASSESSMENT ORGANIZATIONS 1.4.7 第三者評価機関
1.4.8 CLOUD SERVICE PROVIDERS 1.4.8 クラウドサービスプロバイダー
2. STATERAMP REQUIREMENTS 2. StateRAMPの要求事項
2.1 AUTHORIZATION PATH 2.1 認可方法
2.2 MARKETPLACE 2.2 マーケットプレイス
2.3 USING A PROVIDER NOT LISTED ON MARKETPLACE 2.3 マーケットプレイスに掲載されていないプロバイダーの使用
3. STATERAMP SECURITY ASSESSMENT FRAMEWORK 3. StateRAMP セキュリティ評価フレームワーク
3.1 DOCUMENT 3.1 文書
3.1.1 SELECT SECURITY CONTROLS 3.1.1 セキュリティ統制の選択
3.1.2 IMPLEMENT SECURITY CONTROLS 3.1.2 セキュリティ管理の実施
3.1.3 SYSTEM SECURITY PLAN 3.1.3 システムセキュリティ計画
3.2 ASSESS 3.2 アセス
3.2.1 THIRD PARTY ASSESSMENT ORGANIZATIONS 3.2.1 第三者評価機関
3.2.2 COMPLETE THE READINESS ASSESSMENT PLAN 3.2.2 準備評価計画の完成
3.2.3 COMPLETE THE SECURITY ASSESSMENT PLAN 3.2.3 セキュリティ評価計画の完成
3.3 AUTHORIZE 3.3 認可
3.3.1 ANALYSIS OF RISKS FOR AUTHORIZATION 3.3.1 認可のリスク分析
3.3.2 PLAN OF ACTION AND MILESTONES 3.3.2 行動計画とマイルストーン
3.3.3 SUBMISSION OF A SECURITY PACKAGE FOR AUTHORIZATION 3.3.3 認可のためのセキュリティパッケージの提出
3.3.4 RECOGNITION OF STATUS 3.3.4 ステータスの再認識
3.3.5 LEVERAGING STATERAMP SECURITY PACKAGES 3.3.5 セキュリティ・パッケージの強化
3.3.6 REVOKING A STATUS 3.3.6 ステータスの取り消し
3.4 MONITOR 3.4 監視
3.4.1 OPERATIONAL VISIBILITY 3.4.1 動作可視性
3.4.2 CHANGE CONTROLS 3.4.2 変更制御
3.4.3 INCIDENT RESPONSE 3.4.3 インシデント対応
APPENDIX A: STATERAMP SECURITY CONTROLS BASELINE SUMMARY 付録A: StateRAMP セキュリティ統制のベースライン要約
APPENDIX B: MINIMUM MANDATORY REQUIREMENTS FOR READY STATUS 付録B:準備完了テータスのための最低限の必須要件
APPENDIX C: SAMPLE RFP OR CONTRACTUAL LANGUAGE FOR STATES 付録C:州政府のためのRFP、契約書サンプル。
APPENDIX D: DATA CLASSIFICATION TOOL 付録D. データ分類ツール
APPENDIX E: TERMINOLOGY 付録E: 用語解説
APPENDIX F: FREQUENTLY ASKED QUESTIONS 付録F: よくある質問

付録F:よくある質問

|

« ドイツの情報セキュリティ標準 BSI standard 200-4 Business Continuity Management ドラフトの意見募集 | Main | 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである »

Comments

Post a comment



(Not displayed with comment.)




« ドイツの情報セキュリティ標準 BSI standard 200-4 Business Continuity Management ドラフトの意見募集 | Main | 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである »