NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
こんにちは、丸山満彦です。
NISTが、NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付けを確定させていますね。。。
● NIST -ITL
・2022.02.10 NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management
| NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management | NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け |
| Abstract | 概要 |
| This document is the second in a series that supplements NIST Interagency/Internal Report (NISTIR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This series provides additional detail regarding the enterprise application of cybersecurity risk information; the previous document, NISTIR 8286A, provided detail regarding stakeholder risk guidance and risk identification and analysis. This second publication describes the need for determining the priorities of each of those risks in light of their potential impact on enterprise objectives, as well as options for properly treating that risk. This report describes how risk priorities and risk response information are added to the cybersecurity risk register (CSRR) in support of an overall enterprise risk register. Information about the selection of and projected cost of risk response will be used to maintain a composite view of cybersecurity risks throughout the enterprise, which may be used to confirm and, if necessary, adjust risk strategy to ensure mission success. | 本報告書は,NIST Interagency/Internal Report (NISTIR) 8286「Integrating Cybersecurity and Enterprise Risk Management (ERM)」を補足するシリーズの第2弾です。本シリーズでは、サイバーセキュリティのリスク情報のエンタープライズ(組織体)への適用について、さらに詳しく説明しています。前作のNISTIR 8286Aでは、ステークホルダーのリスクガイダンスやリスクの識別と分析について詳しく説明しました。この第2弾では、エンタープライズの目的への潜在的な影響を考慮して、それぞれのリスクの優先順位を決定する必要性と、そのリスクを適切に処理するための選択肢について説明しています。本報告書では、エンタープライズ全体のリスク登録を支援するために、リスクの優先順位とリスク対応情報をサイバーセキュリティ・リスク登録(CSRR)に追加する方法を説明しています。リスク対応策の選択と予測コストに関する情報は、エンタープライズ全体のサイバーセキュリティリスクの複合的な見解を維持するために使用され、ミッションの成功を確実にするためのリスク戦略を確認し、必要に応じて調整するために使用される可能性があります。 |
・[PDF] NISTIR 8286B
目次。。。
| Executive Summary | エグゼクティブ・サマリー |
| 1 Introduction | 1 はじめに |
| 1.1 Purpose and Scope | 1.1 目的と範囲 |
| 1.2 Supporting the Risk Management Cycle | 1.2 リスクマネジメントサイクルの支援 |
| 1.3 Supporting the Enterprise Cybersecurity Risk Life Cycle | 1.3 エンタープライズ・サイバーセキュリティ・リスク・ライフサイクルの支援 |
| 1.4 Document Structure | 1.4 文書構造 |
| 2 Cybersecurity Risk Considerations | 2 サイバーセキュリティリスクの考慮事項 |
| 2.1 Assessment, Response, and Monitoring Across Enterprise Levels | 2.1 エンタープライズレベルを超えた評価、対応、及び監視 |
| 2.2 Prioritizing Cybersecurity Risks | 2.2 サイバーセキュリティ・リスクの優先順位付け |
| 2.2.1 Factors Influencing Prioritization | 2.2.1 優先順位付けに影響を与える要因 |
| 2.2.2 Cybersecurity Risk Optimization | 2.2.2 サイバーセキュリティリスクの最適化 |
| 2.2.3 Cybersecurity Risk Priorities at Each Enterprise Level | 2.2.3 各エンタープライズレベルにおけるサイバーセキュリティ・リスクの優先順位 |
| 2.2.4 Considerations of Positive Risks as an Input to ERM | 2.2.4 ERMへのインプットとしてのポジティブリスクの検討 |
| 2.2.5 Visualizing Risk Priority | 2.2.5 リスク優先度の可視化 |
| 2.3 Selection of Risk Response Types | 2.3 リスク対応タイプの選択 |
| 2.3.1 Risk Acceptance | 2.3.1 リスクの受容 |
| 2.3.2 Risk Avoidance | 2.3.2 リスクの回避 |
| 2.3.3 Risk Transfer | 2.3.3 リスクの移転 |
| 2.3.4 Risk Mitigation | 2.3.4 リスクの軽減 |
| 2.3.5 Relationship of Risk Response to Risk Strategy | 2.3.5 リスク対応とリスク戦略の関係 |
| 2.3.6 Implicit Acceptance | 2.3.6 暗黙の了解 |
| 2.3.7 Responding to Positive Risk Scenarios | 2.3.7 肯定的なリスクシナリオへの対応 |
| 2.4 Finalizing the Cybersecurity Risk Register | 2.4 サイバーセキュリティ・リスク・レジスターの最終決定 |
| 2.4.1 Risk Response Cost | 2.4.1 リスク対応のコスト |
| 2.4.2 Risk Response Description | 2.4.2 リスク対応の説明 |
| 2.4.3 Risk Owner | 2.4.3 リスクオーナー |
| 2.4.4 Status | 2.4.4 ステータス |
| 2.5 Conditioning Cybersecurity Risk Register for Enterprise Risk Rollup | 2.5 エンタープライズ・リスクロールアップのためのサイバーセキュリティ・リスク登録の調整 |
| 3 Conclusion | 3 結論 |
| References | 参考文献 |
| List of Appendices | 附属書リスト |
| Appendix A— Acronyms | 附属書A-頭字語 |
| List of Figures | 図一覧 |
| Figure 1: NISTIR 8286 Series Publications Describe Detailed CSRM/ERM Integration | 図1:NISTIR 8286シリーズの出版物には、CSRM/ERM統合の詳細が記載されています。 |
| Figure 2: NISTIR 8286B Activities as part of CSRM/ERM Integration | 図2:NISTIR 8286B CSRM/ERM統合の一環としての活動 |
| Figure 3: Inputs to Risk Scenario Identification | 図3:リスクシナリオ特定のためのインプット |
| Figure 4: Notional Cybersecurity Risk Register Template | 図4:概念的なサイバーセキュリティ・リスク・レジスターのテンプレート |
| Figure 5: ERM and CSRM Actions Apply Common Terms in Different Ways | 図5:ERMとCSRMの活動は、共通の用語を異なる方法で適用する |
| Figure 6: Excerpt from a Notional Cybersecurity Risk Register (from NISTIR 8286) | 図6:想定されるサイバーセキュリティ・リスク・レジスターからの抜粋(NISTIR 8286より |
| Figure 7: Example Risk Map Illustrating Prioritization of the Risks in Figure 6 | 図7:図6のリスクの優先順位を示したリスクマップの例 |
| Figure 8: Alternative Risk Map with Separate Risk and Opportunity Mapping | 図8:リスクとオポチュニティを別々にマッピングした代替リスクマップ |
| Figure 9: Risk Response Workflow | 図9:リスク対応のワークフロー |
| Figure 10: Example Risk Responses in the CSRR | 図10:CSRRにおけるリスク対応の例 |
| Figure 11: RDR Excerpt – Example for an Acceptable Risk | 図11:RDRの抜粋-受容可能なリスクの例 |
| Figure 12: RDR Excerpt – Example of Risk Avoidance | 図12:RDRの抜粋-リスク回避の例 |
| Figure 13: RDR Excerpt – Example of Risk Transfer | 図13:RDRの抜粋-リスク移転の例 |
| Figure 14: RDR Excerpt – Risk Mitigation | 図14:RDRの抜粋-リスクの軽減 |
| Figure 15: Monitor-Evaluate-Adjust Management Cycle | 図15:監視-評価-調整のマネジメントサイクル |
| Figure 16: RDR Excerpt – Risk Mitigation (Example 2) | 図16:RDRの抜粋-リスクの軽減(例2 |
| Figure 17: Notional CSRR Excerpt Showing Risk Response Cost Column | 図17:リスク対応コスト欄を示した想定的なCSRRの抜粋 |
| Figure 18: Notional CSRR Excerpt Showing Risk Response Description Column | 図18:リスク対応の説明欄を示した想定上のCSRRの抜粋 |
| Figure 19: Notional CSRR Excerpt Showing Risk Owner Column | 図19:想定される CSRR の抜粋 リスクオーナーの欄の表示 |
| Figure 20: Notional CSRR Excerpt Showing Risk Status Column | 図20:リスクステータス欄を表示した想定上のCSRR抜粋 |
| List of Tables | 表一覧 |
| Table 1: Response Types for Negative Cybersecurity Risks | 表1: ネガティブなサイバーセキュリティ・リスクに対する対応タイプ |
| Table 2: Response Types for Positive Cybersecurity Risks | 表2: ポジティブなサイバーセキュリティ・リスクに対する対応タイプ |
エグゼクティブサマリー
| Executive Summary | 要約 |
| All organizations face a broad array of risks, including cybersecurity risks. For U.S. Federal Government agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives” [1]. An organization’s business objectives can be impacted by such effects, so this uncertainty must be managed at various hierarchical levels. | すべての組織は、サイバーセキュリティのリスクを含め、さまざまなリスクに直面しています。米国連邦政府機関の場合、OMB(連邦予算管理局)Circular A-11では、リスクを「目的に対する不確実性の影響」と定義しています[1]。組織のビジネス目標は、このような影響を受ける可能性があるため、この不確実性をさまざまな階層で管理する必要があります。 |
| This report highlights Cybersecurity Risk Management (CSRM) aspects that are inherent to enterprises, organizations, and systems. The terms organization and enterprise are often used interchangeably; for the purposes of this document, both an organization and an enterprise are defined as an entity of any size, complexity, or positioning within a larger organizational structure. The term enterprise level refers to the top level of the hierarchy where senior leaders have unique risk governance responsibilities. Each enterprise, such as a corporation or government agency, is comprised of organizations supported by systems.[1] The term organizational level refers to the various middle levels of the hierarchy between the system level (lowest level) and the enterprise level (highest level). | 本報告書では、企業、組織、システムに固有のサイバーセキュリティ・リスク管理(CSRM)の側面に焦点を当てています。組織と企業という言葉は、しばしば互換的に使用されます。本報告書では、組織と企業の両方を、大きな組織構造の中でのあらゆる規模、複雑性、または位置づけのある事業体と定義しています。エンタープライズレベルとは、シニアリーダーが固有のリスクガバナンス責任を有する階層の最上位レベルを指す。企業や政府機関などのエンタープライズは、システムに支えられた組織で構成されています[1]。 組織レベルとは、システムレベル(最下位)と企業レベル(最上位)の間にある様々な中間レベルの階層を指します。 |
| Enterprise risk management (ERM) calls for understanding the key risks that an organization faces. This document provides supplemental guidance for aligning cybersecurity risks with an organization’s overall ERM program. To minimize the extent to which cybersecurity risks impede enterprise missions and objectives, there must be effective collaboration among CSRM and ERM managers. This document helps enterprises apply, improve, and monitor the quality of that cooperation and communication. | エンタープライズ・リスク・マネジメント(ERM)では、組織が直面する主要なリスクを理解することが求められます。本報告書は、サイバーセキュリティのリスクを組織のERMプログラム全体と整合させるための補足的なガイダンスを提供するものです。サイバーセキュリティのリスクがエンタープライズのミッションや目標を阻害する度合いを最小限に抑えるためには、CSRMとERMの管理者が効果的に連携する必要があります。本報告書は、エンタープライズがその協力とコミュニケーションの質を適用、改善、監視するのに役立ちます。 |
| Figure 1: NISTIR 8286 Series Publications Describe Detailed CSRM/ERM Integration | 図1:NISTIR 8286シリーズの出版物には、CSRM/ERM統合の詳細が記載されています。 |
| This NIST Interagency/Internal Report (NISTIR) is part two of a series supporting NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) [2]. | このNIST Interagency/Internal Report(NISTIR)は、NISTIR 8286「Integrating Cybersecurity and Enterprise Risk Management (ERM) [2]」をサポートするシリーズの第2部です。 |
| Figure 1 illustrates that additional detail and guidance are provided in each report: | 図1は、各レポートに追加の詳細とガイダンスが記載されていることを示しています。 |
| • NISTIR 8286A provides detail regarding cybersecurity risk context, scenarios, and analysis of likelihood and impact. It includes methods to convey risk information, such as cybersecurity risk registers (CSRRs) and risk detail records (RDRs). | ・NISTIR 8286Aでは、サイバーセキュリティ・リスクの背景、シナリオ、可能性と影響の分析について詳しく説明しています。NISTIR 8286Aでは、サイバーセキュリティリスクの背景、シナリオ、可能性と影響の分析について詳細に説明しており、サイバーセキュリティリスクレジスター(CSRR)やリスク詳細記録(RDR)など、リスク情報を伝達するための方法も含まれています。 |
| • NISTIR 8286B (this report) describes ways to apply risk analysis to help prioritize cybersecurity risk, evaluate and select appropriate risk response, and communicate risk activities as part of an enterprise CSRM strategy. | ・NISTIR 8286B(本報告書)では、エンタープライズのCSRM戦略の一環として、サイバーセキュリティ・リスクの優先順位付け、適切なリスク対応の評価と選択、リスク活動の伝達に役立つリスク分析の適用方法について説明しています。 |
| • The next document in this series, NISTIR 8286C, describes processes for aggregating information from CSRM activities throughout the enterprise. As that information is integrated and harmonized, organizational and enterprise leaders monitor the achievement of risk objectives, consider any changes to risk strategy, and use the combined information to maintain awareness of risk factors and positive risks (or opportunities). | ・このシリーズの次の報告書であるNISTIR 8286Cは、エンタープライズ全体のCSRM活動からの情報を集約するためのプロセスを説明しています。これらの情報が統合され、調和されると、組織やエンタープライズのリーダーは、リスク目標の達成状況を監視し、リスク戦略の変更を検討し、統合された情報を用いて、リスク要因やポジティブなリスク(または機会)に対する認識を維持します。 |
| All participants in the enterprise who play a role in CSRM and/or ERM should use consistent methods to prioritize and respond to risk, including methods for communicating results. This report provides guidance for applying a consistent risk strategy at all enterprise levels (Section 2.1). Based on the risk identification and risk analysis described in NISTIR 8286A, NISTIR 8286B provides recommendations for determining, responding to, and reporting the relative priorities of risks, as documented in the CSRR, in light of the enterprise’s risk strategy (Section 2.2), selecting risk response actions (Section 2.3), finalizing the CSRR (Section 2.4), and conditioning results in preparation for risk report aggregation (Section 2.5). | CSRM及び/又はERMの役割を担うエンタープライズの全ての参加者は、結果の伝達方法を含め、一貫した方法を用いてリスクの優先順位付けと対応を行うべきである。本報告書は、エンタープライズのすべてのレベルで一貫したリスク戦略を適用するためのガイダンスを提供する(セクション2.1)。NISTIR 8286Bでは、NISTIR 8286Aで述べたリスク識別とリスク分析に基づき、エンタープライズのリスク戦略に照らして、CSRRで文書化されたリスクの相対的な優先順位の決定、対応、報告(2.2項)、リスク対応行動の選択(2.3項)、CSRRの最終決定(2.4項)、リスク報告書の集計に向けた結果の調整(2.5項)に関する推奨事項を示しています。 |
| [1] A system is defined as “a discrete set of information resources organized expressly for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information.” | [システムとは、「情報の収集、処理、維持、使用、共有、発信、または処分のために明示的に組織された情報資源の個別の集合体」と定義されている。 |
References
[1] Office of Management and Budget (2019) Preparation, Submission, and Execution of the Budget. (The White House, Washington, DC), OMB Circular No. A-11, December 18, 2019. Available at https://www.whitehouse.gov/wpcontent/uploads/2018/06/a11.pdf
[2] Stine K, Quinn S, Witte G, Gardner RK (2020) Integrating Cybersecurity and Enterprise Risk Management (ERM). (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8286. https://doi.org/10.6028/NIST.IR.8286
NISTIR 8286 関連
| Date | St. | Web | ||
| 2020.10.13 | Final | NISTIR 8286 | Integrating Cybersecurity and Enterprise Risk Management (ERM) | サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合 |
| 2021.11.12 | Final | NISTIR 8286A | Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management | エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定 |
| 2022.02.10 | Final | NISTIR 8286B | Prioritizing Cybersecurity Risk for Enterprise Risk Management | エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け |
| 2022.01 26 | draft | NISTIR 8286C | Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight | エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)
・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)
・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
関連する情報
・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ
・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド
・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み
COSO 関連
・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク
・2020.06.23 GAO GreenbookとOMB Circular No. A-123
少し(^^)遡ります。。。
・2011.12.22 COSO Exposure Draft: International Control Integrated Framework
・2009.01.27 COSO Guidance on Monitoring Internal Control Systems
・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems
・2007.09.15 COSO Guidance on Monitoring Internal Control Systems
・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)
次の3つは歴史を知る上でも重要↓
・2006.08.28 SAS No.55の内部統制の要素
・2006.07.31 内部統制の構成要素比較 日本語
・2006.07.30 内部統制の構成要素比較
・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies
この4つは歴史的にも重要かもですね。。。↓
・2006.05.10 CoCoにおける取締役会の統制上の責任
・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」
・2006.04.24 米国 30年前のIT全般統制の項目
・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている
・2005.01.30 NHK COSOを導入
・
« NIST SP 800-140D Rev.1(ドラフト)CMVP認定済みのセンシティブパラメータ生成・確立方法:ISO/IEC 24759に対するCMVP検証機関のアップデート(第2稿) | Main | 米国 White House 米露大統領の電話会談(ウクライナ問題) »
Comments