NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
こんにちは、丸山満彦です。
NISTがNISTIR 8286C (ドラフト)ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためにサイバーセキュリティ・リスクをステージングするを公表し、意見募集をしていますね。。。
8286Bが、システムレベル、組織レベルのモニタリングをカバーするのに対し、8286Cはエンタープライズレベルのモニタリングをカバーするという分担ですね。。。
● NIST - ITL
・2022.01 26 NISTIR 8286C (Draft) Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight
NISTIR 8286C (Draft) Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight | NISTIR 8286C(ドラフト)エンタープライズ・リスク・マネジメントとガバナンスの監督のためのサイバーセキュリティリスクのステージング |
Announcement | 発表内容 |
This report completes the cybersecurity risk management (CSRM) and enterprise risk management (ERM) integration cycle described throughout the NISTIR 8286 series. | 本報告書は、NISTIR 8286シリーズで説明してきたサイバーセキュリティ・リスク・マネジメント(CSRM)とエンタープライズ・リスク管理(ERM)の統合サイクルを完成させるものです。 |
Draft NISTIR 8286C describes methods for combining risk information from across the enterprise, including notional examples for aggregating and normalizing the results from cybersecurity risk registers (CSRRs) while considering risk parameters, criteria, and business impacts. The resulting integration and normalization of risk information informs enterprise-level risk decision-making and monitoring, which helps create a comprehensive picture of the overarching cyber risk. The report describes the creation of an enterprise risk profile (ERP) that supports the comparison and management of cyber risks along with other risk types. | ドラフトNISTIR 8286Cでは、企業全体のリスク情報を統合する方法について、リスクのパラメータや基準、ビジネスへの影響を考慮しながら、サイバーセキュリティ・リスク・レジスター(CSRR)の結果を集約して正規化するための想定例などを紹介しています。このようにして得られたリスク情報の統合と正規化により、企業レベルのリスクに関する意思決定とモニタリングが行われ、包括的なサイバーリスクの全体像を把握することができます。本報告書では、他のリスクタイプとともにサイバーリスクの比較と管理をサポートするエンタープライズ・リスク・プロファイル(ERP)の作成について説明しています。 |
Draft NISTIR 8286C builds on several previous reports: | ドラフトNISTIR 8286Cは、いくつかの過去のレポートをベースにしています。 |
NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) –foundational document that describes high-level processes | NISTIR 8286 サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合 - ハイレベルなプロセスを説明した基本文書 |
NISTIR 8286A, Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management – describes risk identification and analysis | NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定 - リスクの特定と分析について記載しています。 |
NISTIR 8286B, Prioritizing Cybersecurity Risk for Enterprise Risk Management – describes methods for applying enterprise objectives to prioritize the identified risks and, subsequently, to select and apply the appropriate responses | NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け - 企業目標を適用して、特定されたリスクに優先順位を付け、その後、適切な対応策を選択して適用する方法について記載しています。 |
The NISTIR 8286 series enables risk practitioners to integrate CSRM activities more fully into the broader enterprise risk processes. Because information and technology comprise some of the enterprise’s most valuable resources, it is vital that directors and senior leaders have a clear understanding of cybersecurity risk posture at all times. It is similarly vital that those identifying, assessing, and treating cybersecurity risk understand enterprise strategic objectives when making risk decisions. | NISTIR 8286シリーズにより、リスク管理担当者は、CSRM活動をより広範な企業リスクプロセスに統合することができます。情報と技術は企業にとって最も価値のある資源の一部であるため、取締役やシニアリーダーがサイバーセキュリティのリスク態勢を常に明確に理解していることが重要です。同様に、サイバーセキュリティリスクを特定、評価、処理する者が、リスクの決定を行う際に企業の戦略目標を理解することも重要です。 |
The authors of the NISTIR 8286 series hope that these publications will spark further industry discussion. As NIST continues to develop frameworks and guidance to support the application and integration of information and technology, many of the series’ concepts will be considered for inclusion. | NISTIR 8286シリーズの著者は、これらの出版物が業界のさらなる議論のきっかけとなることを願っています。NISTは、情報と技術の応用と統合を支援するためのフレームワークやガイダンスの開発を続けており、本シリーズのコンセプトの多くが採用されることが検討されています。 |
Abstract | 概要 |
This document is the third in a series that supplements NIST Interagency/Internal Report (NISTIR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This document provides additional detail regarding the enterprise application of cybersecurity risk information. The previous documents, NISTIRs 8286A and 8286B, provided detail regarding stakeholder risk direction and methods for assessing and managing cybersecurity risk in light of enterprise objectives. NISTIR 8286C describes how information, as recorded in cybersecurity risk registers (CSRRs), may be integrated as part of a holistic approach to ensuring that risks to information and technology are properly considered for the enterprise risk portfolio. This cohesive understanding supports an enterprise risk register (ERR) and enterprise risk profile (ERP) that, in turn, support the achievement of enterprise objectives. | 本資料は、NIST Interagency/Internal Report (NISTIR) 8286「サイバーセキュリティとエンタープライズリスクマネジメント (ERM) の統合」を補足するシリーズの第3弾です。本文書では、サイバーセキュリティのリスク情報の企業への適用について、さらに詳しく説明しています。前作のNISTIR 8286Aおよび8286Bでは、ステークホルダーのリスクの方向性や、企業の目的に照らしたサイバーセキュリティリスクの評価・管理方法について詳しく説明しました。NISTIR 8286Cでは、サイバーセキュリティ・リスク・レジスタ(CSRR)に記録されている情報を、企業のリスク・ポートフォリオにおいて情報や技術に対するリスクを適切に考慮するための全体的なアプローチの一部として統合する方法を説明しています。このような統合的な理解は、企業リスク登録(ERR)と企業リスクプロファイル(ERP)をサポートし、ひいては企業目標の達成をサポートすることになります。 |
・[PDF] NISTIR 8286C (Draft)
Executive Summary | エグゼクティブサマリー |
This NIST Interagency/Internal Report (NISTIR) explores the methods for integrating disparate cybersecurity risk management (CSRM) information from throughout the enterprise to create a composite Enterprise Risk Profile (ERP) to inform company executives’ and agency officials’ enterprise risk management (ERM) deliberations, decisions and actions. It describes the inclusion of cybersecurity risks as part of financial, valuation, mission, and reputation exposure. Figure 1 expands the enterprise risk cycle from previous reports to remind the reader that the input and sentiments of external stakeholders are a critical element of risk decisions.[1] | このNIST Interagency/Internal Report(NISTIR)は、エンタープライズからの異種のサイバーセキュリティ・リスク管理(CSRM)情報を統合して複合的なエンタープライズ・リスク・プロファイル(ERP)を作成し、エンタープライズの経営者や機関の役員のエンタープライズ・リスク管理(ERM)の審議、決定、行動に情報を提供するための方法を検討している。また、財務、評価、使命、評判などのエクスポージャーの一部として、サイバーセキュリティ・リスクを含めることを説明している。図1は、以前のレポートにあったエンタープライズリスクサイクルを拡大したもので、外部のステークホルダーの意見や感情がリスク決定の重要な要素であることを読者に思い出させるものである[1]。 |
The importance of information and technology risks to the enterprise risk posture makes it critical to ensure broad visibility into related activities. A comprehensive enterprise risk register (ERR) and enterprise risk profile (ERP) support communication and disclosure requirements. Integration of CSRM activities supports understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, and cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities. | エンタープライズのリスク対策における情報・技術リスクの重要性から、関連する活動を広く可視化することが重要である。包括的なエンタープライズリスク登録(ERR)とエンタープライズリスクプロファイル(ERP)は、コミュニケーションと情報開示の要件をサポートします。CSRM活動の統合は、エンタープライズ報告(損益計算書、貸借対照表、キャッシュフローなど)に関連するエクスポージャーの理解をサポートし、公共機関の同様の要件(予算編成や監督当局への報告など)をサポートします。 |
This NISTIR explores the methods for integrating disparate cybersecurity risk management (CSRM) information from throughout the enterprise to create a composite understanding of the various cyber risks that may have an impact on the enterprise’s objectives. The report continues the discussion where NISTIR 8286B concluded by focusing on the integration of data points to create a comprehensive view of opportunities and threats to the enterprise’s information and technology. Notably, because cybersecurity risk is only one of the dozens of risk types in the enterprise risk universe, that risk understanding will itself be integrated with similar aggregate observations of other collective risk points. | このNISTIRは、エンタープライズの目的に影響を与える可能性のある様々なサイバーリスクの複合的な理解を得るために、エンタープライズ全体からの異種のサイバーセキュリティリスク管理(CSRM)情報を統合する方法を検討しています。 本報告書は、NISTIR 8286Bの議論を継承し、データポイントを統合してエンタープライズの情報や技術に対する機会や脅威を包括的に把握することに重点を置いています。特に、サイバーセキュリティリスクは、エンタープライズのリスクユニバースに含まれる数十種類のリスクタイプのうちの1つに過ぎないため、そのリスクの理解自体が、他の集合的なリスクポイントの同様の集約された観測結果と統合されることになります。 |
NISTIR 8286C discusses how risk governance elements such as enterprise risk strategy, appetite, tolerance, and capacity direct risk performance. By monitoring the results of CSRM activities at each hierarchical level, senior leaders can adjust various governance components (e.g., policy, procedures, skills) to achieve risk objectives. The report describes how the CSRM Monitor, Evaluate, and Adjust (MEA) process supports enterprise risk management. This process also supports a repeatable and consistent use of terms, including an understanding of how the context of the terms can vary depending on the enterprise’s perspective. That understanding helps to ensure effective CSRM communication and coordination. | NISTIR 8286Cでは、エンタープライズのリスク戦略、アペタイト、トレランス、キャパシティなどのリスクガバナンスの要素が、どのようにリスクパフォーマンスを左右するかについて述べています。各階層におけるCSRM活動の結果をモニタリングすることで、シニアリーダーは、リスク目標を達成するために様々なガバナンス要素(方針、手順、スキルなど)を調整することができます。本報告書では、CSRMのMEA(Monitor, Evaluate, and Adjust)プロセスがどのようにエンタープライズのリスク管理を支えているかを説明しています。また、このプロセスは、エンタープライズの視点によって用語の文脈がどのように変化するかを理解することを含め、反復可能で一貫性のある用語の使用をサポートします。このような理解は、CSRMの効果的なコミュニケーションと調整を可能にします。 |
While ERM is a well-established field, there is an opportunity to expand and improve the body of knowledge regarding coordination among cybersecurity risk managers and those managing risk at the most senior levels. This series is intended to introduce this integration while recognizing the need for additional research and collaboration. Future points of focus may include information regarding business impact assessments (BIA), which are foundational to understanding exposure and opportunity. Additional reports may explore specific guidance regarding risk limits (i.e., risk appetite, tolerance, and capacity) and further explanation of risk analysis techniques. NIST also continues to perform extensive research and publication development regarding metrics – a topic that will certainly support ERM/CSRM performance measurement, monitoring, and communication. |
ERMは確立された分野ではありますが、サイバーセキュリティ・リスク管理者と最上級レベルのリスク管理者との間の連携に関する知識体系を拡大・改善する機会があります。このシリーズは、さらなる研究と協力の必要性を認識しつつ、この統合を紹介することを目的としています。将来的には、エクスポージャーとオポチュニティを理解するための基礎となるビジネスインパクトアセスメント(BIA)に関する情報に焦点を当てる予定です。また、リスク限度(リスクアペタイト、トレランス、キャパシティなど)に関する具体的なガイダンスや、リスク分析手法のさらなる説明なども追加される予定です。NISTはまた、ERM/CSRMのパフォーマンス測定、モニタリング、コミュニケーションを確実にサポートするトピックである、メトリクスに関する広範な研究と出版物の開発を続けています。 |
NISTIR 8286C continues the discussion regarding the inclusion of CSRM priorities and results in support of improved understanding about the agency and enterprise impacts of cybersecurity risks on financial, reputation, and mission considerations. |
NISTIR 8286Cでは、サイバーセキュリティリスクが財務、評判、ミッションに与える機関やエンタープライズの影響についての理解を深めるために、CSRMの優先事項や結果を含めることに関する議論を続けています。 |
[1] Key external stakeholders include shareholders, strategic partners, regulators, constituents, allies, and legislators. | [1] 外部の主要なステークホルダーには、株主、戦略的パートナー、規制当局、有権者、同盟国、議員などが含まれます。 |
目次
Executive Summary | エグゼクティブ・サマリー |
1 Introduction | 1 はじめに |
1.1 Purpose and Scope | 1.1 目的と範囲 |
1.2 Document Structure | 1.2 文書構造 |
2 Aggregation and Normalization of Cybersecurity Risk Registers | 2 サイバーセキュリティリスクレジスターの集約と正規化 |
2.1 Aggregation of Cybersecurity Risk Information | 2.1 サイバーセキュリティリスク情報の集約 |
2.2 Normalization of CSRR Information | 2.2 CSRR情報の正規化 |
2.3 Integrating CSRR Details | 2.3 CSRRの詳細の統合 |
3 Integration of Cybersecurity Risk into the ERR/ERP | 3 サイバーセキュリティリスクのERR/ERPへの統合 |
3.1 Enterprise Impact of Cybersecurity | 3.1 サイバーセキュリティの企業への影響 |
3.2 Dependencies Among Enterprise Functions and Technology Systems | 3.2 企業機能と技術システム間の依存関係 |
3.3 Enterprise Value of the ERP | 3.3 ERPの企業価値 |
3.4 Typical Enterprise Objectives, Functions, and Prioritization | 3.4 典型的な企業の目的、機能、および優先順位付け |
4 Risk Governance as the Basis for Cybersecurity Risk Management | 4 サイバーセキュリティリスクマネジメントの基礎となるリスクガバナンス |
4.1 Frameworks in Support of Risk Governance and Risk Management | 4.1 リスクガバナンスとリスクマネジメントを支えるフレームワーク |
4.2 Adjustments to Risk Direction | 4.2 リスクの方向性の調整 |
4.2.1 Adjustments to Cybersecurity Program Budget Allocation | 4.2.1 サイバーセキュリティプログラム予算配分の調整 |
4.2.2 Adjustments to Risk Appetite and Risk Tolerance | 4.2.2 リスクアペタイト及びリスクトレランスの調整 |
4.2.3 Reviewing Whether Constraints are Overly Stringent | 4.2.3 制約が過度に厳しいかどうかの見直し |
4.2.4 Adjustments to Priority | 4.2.4 優先順位の調整 |
5 Cybersecurity Risk Monitoring, Evaluation, and Adjustment | 5 サイバーセキュリティリスクの監視・評価・調整 |
5.1 Key CSRM Mechanisms | 5.1 主要なCSRMのメカニズム |
5.2 Monitoring Risks | 5.2 リスクのモニタリング |
5.3 Evaluating Risks | 5.3 リスクの評価 |
5.4 Adjusting Risk Responses | 5.4 リスク対応の調整 |
6 Conclusion | 6 まとめ |
References | 参考文献 |
List of Appendices | 附属書のリスト |
Appendix A— Acronyms and Abbreviations | 附属書A - 頭字語と略語 |
● まるちゃんの情報セキュリティ気まぐれ日記
IR8286
・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)
・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)
・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
IR8286関連
・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ
・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド
・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み
Comments