英国 会計検査院 サイバー・情報セキュリティ：グッドプラクティスガイド

こんにちは、丸山満彦です。

英国の会計検査院 (National Audit office) が「サイバー・情報セキュリティ：グッドプラクティスガイド」を公表していますね。。。

 

● National Audit Office: NAO

・2021.10.28 Cyber and information security: Good practice guide

Cyber and information security: Good practice guide	サイバー・情報セキュリティ：グッドプラクティスガイド
Audit committees should be scrutinising cyber security arrangements. To aid them, this guidance complements government advice by setting out high-level questions and issues for audit committees to consider.	監査委員会は、サイバー・セキュリティの仕組みを精査する必要があります。本指針は、監査委員会が検討すべきハイレベルな質問と課題を示し、政府の助言を補完するものです。
Audit committees should gain the appropriate assurance for the critical management and control of cyber security and information risk.	監査委員会は、サイバーセキュリティと情報リスクの重要な管理・統制について、適切な保証を得るべきです。
Cyber security is the activity required to protect an organisation’s data, devices, networks and software from unintended or unauthorised access, change or destruction via the internet or other communications systems or technologies. Effective cyber security relies on people and management of processes as well as technical controls.	サイバー・セキュリティとは、組織のデータ、機器、ネットワーク、ソフトウェアを、インターネットやその他の通信システム・技術を介した意図しない、または不正なアクセス、変更、破壊から保護するために必要な活動です。効果的なサイバーセキュリティは、技術的な管理だけでなく、人材やプロセスの管理にも依存しています。
Our guide supports audit committees to work through this complexity, being able to understand and question the management of cyber security and information risk.	本ガイドは、監査委員会がこの複雑さを克服し、サイバーセキュリティと情報リスクの管理を理解し、疑問を持つことができるよう支援します。
It takes into account several changes which affect the way in which we interact with and manage our information and can drive increased risk. These include changes to the way we work and live due to the COVID-19 pandemic and the ongoing demand to digitise and move to cloud-based services.	本ガイドでは、私たちの情報との関わり方や管理方法に影響を与え、リスクを増大させる可能性のあるいくつかの変化を考慮しています。これらの変化には、COVID-19パンデミックによる仕事や生活の仕方の変化、デジタル化やクラウドベースのサービスへの移行が求められていることなどが含まれます。
The strategic advice, guidance and support provided by government has also been updated to keep pace with these changes, detailing the impact and risks on the management of cyber security and information risk.	政府が提供している戦略的なアドバイス、ガイダンス、サポートもこれらの変化に対応するために更新され、サイバーセキュリティと情報リスクの管理に与える影響とリスクについて詳しく説明しています。
The guide provides a checklist of questions and issues covering:	このガイドでは、以下をカバーする質問と問題点のチェックリストを提供しています。
・The overall approach to cyber security and risk management	・サイバーセキュリティとリスク管理に対する全体的なアプローチ
・Capability needed to manage cyber security	・サイバーセキュリティを管理するために必要な能力
・Specific aspects, such as information risk management, engagement and training, asset management, architecture and configuration, vulnerability management, identity and access management, data security, logging and monitoring and incident management.	・情報リスク管理、エンゲージメントとトレーニング、資産管理、アーキテクチャと構成、脆弱性管理、アイデンティティとアクセス管理、データセキュリティ、ログとモニタリング、インシデント管理などの特定の側面
Our guidance is based on our previous work and our detailed systems audits, which have identified a high incidence of access-control weaknesses. It also provides links to other government guidance and NAO resources.	本ガイダンスは、これまでの調査や詳細なシステム監査に基づいており、アクセス制御の脆弱性が多く見られることが確認されています。また、他の政府指針やNAOのリソースへのリンクも掲載しています。

 

・[PDF] 

目次...

Introduction	はじめに
Why this issue requires attention	なぜこの問題に注意が必要なのか
Why audit committees need to monitor cyber risks	なぜ監査委員会がサイバー・リスクを監視する必要があるのか
What we have found through our work	何が監査委員会の調査で分かったか
How government policy has changed in this area	どのようにこの分野における政府の方針が変化したのか
Our guidance	我々の指針
How this guidance links to other standards	どのように本指針が他の基準と連携しているのか
What this guidance covers	何を本指針は述べているのか
High-level questions	ハイレベルな質問
More detailed areas to explore	より詳細な検討事項
Further resources	その他のリソース