NIST SP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響：エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理 SP 800-221A (ドラフト) 情報通信技術 (ICT) リスクの成果：ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

こんにちは、丸山満彦です。

組織において、、、ERM ⊇ ICTリスク ⊇ サイバーセキュリティリスク　と言うことですかね。。。

・NISTがSP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響：エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理

・SP 800-221A (ドラフト) 情報通信技術 (ICT) リスクの成果：ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

を公表し、意見募集をしていますね。。。


まずは、SP800-221のほう...

 

● NIST- ITL

・2022.07.20 SP 800-221 (Draft) Enterprise Impacts of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio

 

SP 800-221 (Draft) Enterprise Impacts of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio	SP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響：エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理
Announcement	発表
NIST is posting two draft Special Publications (SP) on the Enterprise Impact of Information and Communications Technology (ICT) Risk, with a public comment period open through September 6, 2022.	NISTは、情報通信技術（ICT）リスクのエンタープライズへの影響に関する2つの特別刊行物（SP）案を掲載し、2022年9月6日までパブリックコメントを募集している。
The increasing dependency on ICT means that all enterprises must ensure ICT risks receive the appropriate attention along with other risk disciplines –legal, financial, etc. – within their enterprise risk management (ERM) programs. These documents and resources are intended to help ICT risk practitioners at all levels of the enterprise, in private and public sectors, to better understand and practice ICT risk management (ICTRM) within the context of ERM.  Using organizing constructs, such as risk appetite and tolerance statements, business impact analysis (BIA), risk registers, and key risk indicators, enterprises, can better identify, assess, communicate, monitor, and manage their ICT risks in the context of their stated mission and business objectives using language and constructs already familiar to senior leaders.	ICTへの依存度が高まっていることから、すべてのエンタープライズは、エンタープライズ・リスクマネジメント（ERM）において、ICTリスクが他のリスク分野（法務、財務など）と共に適切な注意を払う必要がある。これらの文書とリソースは、民間及び公的セクターのあらゆるレベルのエンタープライズのICTリスク実務者が、ERMの文脈の中でICTリスクマネジメント（ICTRM）をより良く理解し、実践することを支援することを目的としている。  リスク選好および許容ステートメント、ビジネスインパクト分析（BIA）、リスクレジスタ、および主要リスク指標のような組織的構成を使用することにより、エンタープライズは、シニアリーダーに既に馴染みのある言語および構成を使用して、明示されたミッションおよびビジネス目標に関連するICTリスクの特定、評価、伝達、監視、および管理をより適切に行うことができる。
NIST Special Publication 800-221 ipd (initial public draft), Enterprise Impact of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio, promotes a greater understanding of the relationship between ICT risk management and ERM, and the benefits of integrating those approaches.	NIST Special Publication 800-221 ipd (初期公開草案), 情報通信技術リスクの企業への影響：企業リスクポートフォリオの中でのICTリスクプログラムの統治と管理は、ICTリスクマネジメントとERMの関係、およびこれらのアプローチを統合する利点について理解を深めるためのものである。
NIST Special Publication 800-221A ipd, Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio, provides a set of desired outcomes and applicable references that are common across all types of ICT risk. It provides a common language for understanding, managing, and expressing ICT risk to internal and external stakeholders. It can be used to help identify and prioritize actions for reducing ICT risk, and it is a tool for aligning policy, business, and technological approaches to managing that risk. Using this approach for each type of ICT risk will help organizations improve the quality and consistency of ICT risk information they provide as inputs to their ERM programs. That, in turn, will help organizations address all forms of ICT risk more effectively in their ERM.  This publication complements SP 800-221 as the ICTRM catalog of outcomes. SP 800-221A can be browsed and downloaded in standardized JSON and Excel formats.	NIST Special Publication 800-221A ipd, 情報通信技術 (ICT) リスク: ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合は、すべての種類のICTリスクに共通する一連の望ましい成果と適用可能な参考文献を提供している。これは、ICTリスクを理解し、管理し、内外の利害関係者に表明するための共通言語を提供する。それは、ICTリスクを低減するための行動を特定し、優先順位をつけるのに役立ち、そのリスクを管理するための政策、ビジネス、及び技術的アプローチを調整するためのツールである。ICTリスクの種類ごとにこのアプローチを使用することは、組織がERMプログラムのインプットとして提供するICTリスク情報の品質と一貫性を向上させるのに役立つ。その結果、組織はERMにおいて、あらゆる形態のICTリスクにより効果的に対処できるようになる。  本書は、SP 800-221を補完し、ICTRMの成果カタログとなる。SP 800-221Aは、標準化されたJSON及びExcel形式で閲覧及びダウンロードが可能である。
The public comment period for both drafts is open through September 6, 2022.	両草案に対するパブリックコメント期間は、2022年9月6日までです。
Abstract	概要
All enterprises should ensure that information and communications technology (ICT) risk receives appropriate attention within their enterprise risk management (ERM) programs. This document is intended to help individual organizations within an enterprise improve their ICT risk management (ICTRM). This can enable enterprises and their component organizations to better identify, assess, and manage their ICT risks in the context of their broader mission and business objectives. This document explains the value of rolling up and integrating risks that may be addressed at lower system and organizational levels to the broader enterprise level by focusing on the use of ICT risk registers as input to the enterprise risk profile.	すべてのエンタープライズは、エンタープライズ・リスクマネジメント（ERM）プログラムの中で、情報通信技術（ICT）リスクに適切な注意を払うようにしなければならない。本書は、エンタープライズ内の各組織がICTリスクマネジメント（ICTRM）を改善することを支援することを目的としている。これにより、エンタープライズ及びその構成組織は、より広い使命と事業目標との関連において、ICTリスクをより適切に特定、評価及び管理することができる。本書は、エンタープライズ・リスクプロファイルへのインプットとしてのICTリスクレジスターの使用に焦点を当て、システムや組織の下位レベルで対処可能なリスクをより広いエンタープライズレベルにロールアップし統合することの価値を説明する。

 

・[PDF] SP 800-221 (Draft)

 

 

 

Executive Summary	エグゼクティブサマリー
All types of organizations, from corporations to federal agencies, face a broad array of risks. For federal agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives” [OMB-A11]. The effect of uncertainty on enterprise mission and business objectives may then be considered as an “enterprise risk” that must be similarly managed. An enterprise is an organization that exists at the top level of a hierarchy with unique risk management responsibilities. Managing risks at that level—enterprise risk management (ERM)—calls for understanding the core risks that an enterprise faces, determining how best to address those risks, and ensuring that the necessary actions are taken. In the Federal Government, ERM is considered “an effective agency-wide approach to addressing the full spectrum of the organization’s significant risks by understanding the combined impact of risks as an interrelated portfolio rather than addressing risks only within silos” [OMB-A11]. OMB Circular A-123 “establishes an expectation for federal agencies to proactively consider and address risks through an integrated…view of events, conditions, or scenarios that impact mission achievement” [OMB-A123].	企業から連邦政府機関に至るまで、あらゆる種類の組織が、さまざまなリスクに直面している。連邦政府機関では、行政管理予算局（OMB）の通達A-11で、リスクを「目標に対する不確実性の影響」と定義している[OMB-A11]。したがって、企業の使命と事業目標に対する不確実性の影響は、同様に管理されなければならない「企業リスク」と考えることができる。企業とは、独自のリスク管理責任を持つ、階層の最上位に存在する組織である。そのレベルでのリスク管理、すなわち企業リスク管理（ERM）とは、企業が直面する中核的なリスクを理解し、そのリスクに対処する最善の方法を決定し、必要な措置を確実に講じることを意味する。連邦政府では、ERMは「サイロの中だけでリスクに対処するのではなく、相互に関連するポートフォリオとしてリスクの複合的な影響を理解し、組織の重要なリスクの全範囲に対処する効果的な機関全体のアプローチ」［OMB-A11］とみなされている。OMB Circular A-123は、「連邦政府機関が、任務達成に影響を与える事象、条件、またはシナリオを統合的に捉えることにより、リスクを積極的に検討し対処することへの期待を定めている」[OMB-A123]と述べている。
The information and communications technology (ICT) on which an enterprise relies is managed through a broad set of risk disciplines. For more than 50 years, NIST publications have provided important guidance for individual programs such as manufacturing excellence, privacy, supply chain, and cybersecurity. But, as the OMB quotes above point out, enterprise risk considerations and decisions must take a portfolio perspective. Individual risk programs have an important role and must integrate activities as part of that enterprise portfolio. Doing so ensures a focus on achieving enterprise objectives and helps identify those risks that will have the most significant impact on the entity’s mission. This publication extends that NIST risk program guidance, recognizing that risk extends beyond the boundaries of individual programs. ICT risk considerations and disciplines (e.g., Internet of Things, supply chain, privacy, cybersecurity) as well as risk management frameworks (e.g., those for artificial intelligence and for information systems and organizations) support the management of a mosaic of interrelated risks. Effectively addressing these ICT risks at the enterprise level requires coordination, communication, and collaboration. This publication examines the relationships among ICT risk disciplines and enterprise risk practices.	企業が依存する情報通信技術（ICT）は、広範なリスク分野を通じて管理される。50年以上にわたって、NISTの出版物は、製造技術、プライバシー、サプライチェーン、およびサイバーセキュリティなどの個々のプログラムに対して重要なガイダンスを提供してきました。しかし、上記のOMBの引用が指摘するように、企業リスクの検討と決定は、ポートフォリオの視点を持たなければならない。個々のリスクプログラムは重要な役割を担っており、その企業ポートフォリオの一部として活動を統合しなければならない。そうすることで、企業の目標達成に焦点を当て、企業のミッションに最も大きな影響を与えるリスクを特定することができます。本書は、NISTのリスクプログラムガイダンスを拡張し、リスクは個々のプログラムの境界を超えるものであることを認識するものである。ICTリスクに関する考慮事項や分野（例：モノのインターネット、サプライチェーン、プライバシー、サイバーセキュリティ）、及びリスク管理フレームワーク（例：人工知能、情報システム及び組織に関するもの）は、相互に関連するリスクのモザイクの管理をサポートするものである。企業レベルでこれらのICTリスクに効果的に対処するには、調整、コミュニケーション、およびコラボレーションが必要です。本書は、ICTリスク分野と企業リスク実務の関係を検証しています。
The broad set of ICT disciplines forms an adaptive system-of-systems composed of many interdependent components and channels. The resulting data represents information, control signals, and sensor readings. As with other complex systems-of-systems, the interconnectedness of these technologies produces system behaviors that cannot be determined by the behavior of individual components. That interconnectedness causes risks which exist between risk programs and across multiple risk programs. As our systems become more complex, they present exploitable vulnerabilities, emergent risks, and system instabilities that, once triggered, can have a runaway effect with multiple severe, often irreversible consequences. In the contemporary enterprise, emergency and real-time circumstances can turn a relatively minor ICT-based risk into true operational risks that disrupt an organization’s ability to perform mission or business functions.	ICT分野の広範なセットは、多くの相互依存のコンポーネントとチャンネルで構成される適応的なシステム・オブ・システムを形成しています。その結果、情報、制御信号、センサーの読み取り値などのデータが生成される。他の複雑なシステム・オブ・システムと同様に、これらの技術の相互接続性は、個々の構成要素の動作では決定できないシステムの動作を生じさせる。この相互接続性により、リスクプログラム間や複数のリスクプログラム間に存在するリスクが発生する。システムがより複雑になるにつれ、悪用可能な脆弱性、顕在化したリスク、一度引き起こされると複数の深刻な、しばしば取り返しのつかない結果をもたらす暴走をもたらすシステムの不安定性が発生します。現代の企業では、緊急時やリアルタイムの状況により、比較的小さなICTベースのリスクが、組織のミッションやビジネス機能の遂行を妨げる真のオペレーショナルリスクに変わることがあります。
This publication supports an interconnected approach to risk frameworks and programs that addresses ICT risk as a special subset of enterprise risk. This publication encourages the practice of aggregating and normalizing ICT risk information, helping to identify, quantify, and communicate risk scenarios and their consequences. Doing so supports effective decisionmaking. That integrated approach ensures that shareholder and stakeholder value is quantified in financial, mission, and reputation metrics similar to those attributed to other (non-technical) enterprise risks, enabling executives and officials to prudently reallocate resources among all the varied competing risk types.	本書は、ICTリスクを企業リスクの特殊な部分集合として扱うリスクフレームワークとプログラムへの相互関連的なアプローチを支援するものである。本書は、ICTリスク情報を集約し、正規化し、リスクシナリオとその結果を特定、定量化、及び伝達することを推奨している。そうすることで、効果的な意思決定が可能になる。その統合されたアプローチは、株主とステークホルダーの価値が、他の（非技術的な）企業リスクに起因するものと同様に、財務、ミッション、および評判の指標で定量化されることを保証し、経営者と当局者がすべての多様な競合するリスクタイプ間で慎重にリソースを再配分することを可能にします。
While NIST is widely recognized as a source of cybersecurity guidance, cyber is only one portion of a large and complex set of uncertainties including financial, legal, legislative, safety, and strategic risks. As part of an ERM program, senior leaders (e.g., corporate officers, government senior executive staff) often have fiduciary and reporting responsibilities that other organizational stakeholders do not, so they have a unique responsibility to holistically manage the combined set of risks. ERM provides the umbrella under which risks are aggregated and prioritized so that all risks can be evaluated and “stovepiped” risk reporting can be avoided. ERM also provides an opportunity for identification of operational risk, a subset of the enterprise risks so significant that potential losses could jeopardize one or more aspects of operations. Risk managers will determine whether a failed internal process (related to enterprise people, processes, technology, or governance) will directly cause a significant operational impact. Some risk response activities are there to directly protect mission operations. Enterprise leaders should define these operational risk parameters as part of enterprise risk strategy.	NIST はサイバーセキュリティのガイダンスとして広く知られていますが、サイバーは、財務、法務、法律、安全、戦略的リスクなど、大きく複雑な不確実性の一要素に過ぎません。ERM プログラムの一環として、シニアリーダー（会社役員、政府の上級幹部職員など）は、他の組織の利害関係者にはない受託者責任と報告責任を負うことが多いため、複合的なリスクを総合的に管理する独自の責任を負っています。ERMは、すべてのリスクを評価し、「縦割り」のリスク報告を回避できるように、リスクを集約し、優先順位をつけるための傘を提供する。ERMはまた、潜在的な損失が業務の1つまたは複数の側面を危険にさらす可能性があるほど重大な企業リスクのサブセットであるオペレーショナルリスクを特定する機会を提供する。リスク管理者は、（企業の人材、プロセス、技術、ガバナンスに関連する）内部プロセスの失敗が、業務に重大な影響を直接引き起こすかどうかを判断します。リスク対応活動の中には、ミッション業務を直接的に保護するためにあるものもある。企業のリーダーは、企業のリスク戦略の一環として、これらのオペレーショナルリスクパラメータを定義する必要があります。
This publication explores the high-level ICT risk management (ICTRM) process illustrated by Figure 1. Many resources – such as well-known frameworks from the Committee of Sponsoring Organizations (COSO), OMB circulars, and the International Organization for Standardization (ISO) – document ERM frameworks and processes. They generally include similar approaches: identify context, identify risks, analyze risk, estimate risk importance, determine and execute the risk response, and identify and respond to changes over time. The process recognizes that no risk response should occur without understanding stakeholder expectations for managing risk to an acceptable level, as informed by leadership’s risk appetite and risk tolerance statements.	本書では、図1に示す高レベルのICTリスクマネジメント（ICTRM）プロセスを検討する。COSO（支援組織委員会）の有名なフレームワーク、OMBのサーキュラー、ISO（国際標準化機構）など、多くのリソースがERMフレームワークとプロセスを文書化しています。これらのフレームワークは、一般的に、コンテキストの特定、リスクの特定、リスクの分析、リスクの重要性の推定、リスク対応の決定と実行、時間の経過による変化の特定と対応という類似のアプローチを含んでいます。このプロセスでは、リーダーシップのリスク選好度やリスク許容度の声明によって知らされる、リスクを許容レベルまで管理することに対する利害関係者の期待を理解することなしに、リスク対応は行われるべきではないと認識しています。
To ensure that leaders can be provided a composite understanding of the various threats and consequences facing each organization and enterprise, risk information is recorded and shared through risk registers.  At higher levels in the enterprise structure, various risk registers (including those related to ICTRM) are aggregated, normalized, and prioritized into risk profiles. While it is critical that enterprises address potential negative impacts on mission and business objectives, it is equally critical (and required for federal agencies) that enterprises plan for success. OMB states that “the [Enterprise Risk] profile must identify sources of uncertainty, both positive (opportunities) and negative (threats).” [OMB-A123] Enterprise-level decision makers use the risk profile to choose which enterprise risks to address, allocate resources, and delegate responsibilities to appropriate risk owners. ERM strategy includes defining terminology, formats, criteria, and other guidance for risk inputs from lower levels of the enterprise.	各組織や企業が直面する様々な脅威とその結果について、リーダーが複合的に理解できるように、リスク情報はリスクレジスターを通じて記録され、共有されます。 企業構造のより高いレベルでは、様々なリスク登録（ICTRMに関連するものを含む）は、リスクプロファイルに集約され、正規化され、優先順位が付けられる。企業がミッションと事業目標に対する潜在的な負の影響に対処することは重要であるが、企業が成功に向けて計画を立てることも同様に重要である（連邦政府機関には義務付けられている）。OMBは、「（企業リスク）プロファイルは、ポジティブ（機会）およびネガティブ（脅威）の両方の不確実性の原因を特定しなければならない」と述べている[OMB-A123]。[企業レベルの意思決定者は、リスクプロファイルを使用して、どの企業リスクに取り組むべきかを選択し、資源を割り当て、適切なリスク所有者に責任を委譲する。ERM戦略には、企業の下層部からのリスクインプットに関する用語、フォーマット、基準、その他のガイダンスを定義することも含まれる。
Integrated risk management information from throughout the enterprise helps create a composite enterprise risk register (ERR) and a prioritized enterprise risk profile (ERP) to inform company executives and agency officials’ ERM deliberations, decisions, and actions. It describes the inclusion of ICT risks (including various operational technology, supply chain, privacy, and cybersecurity risks) as part of financial, valuation, mission, and reputation exposure. A comprehensive ERR and ERP support communication and disclosure requirements. The integration of technology-specific risk management activities supports an understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities. The iterative ICTRM process enables adjustments to risk direction. As leaders receive feedback regarding enterprise progress, strategy can be adjusted to take advantage of an opportunity or to better address negative risk as information is collected and shared.	企業全体から統合されたリスクマネジメント情報は、企業リスク登録（ERR）と優先順位付けされた企業リスクプロファイル（ERP）の作成に役立ち、企業幹部や機関関係者のERMの審議、決定、行動に情報を提供します。財務、評価、ミッション、レピュテーションのエクスポージャーの一部として、ICTリスク（様々なオペレーション技術、サプライチェーン、プライバシー、サイバーセキュリティのリスクを含む）を含めることを説明するものである。包括的なERRとERPは、コミュニケーションと開示の要件をサポートする。技術固有のリスク管理活動の統合は、企業報告（例：損益計算書、貸借対照表、キャッシュフロー）及び公共部門団体の類似要件（例：充当及び監督当局への報告）に関連するエクスポージャーの理解を支援する。ICTRMの反復的なプロセスは、リスクの方向性を調整することを可能にする。企業の進捗に関するフィードバックをリーダーが受け取ることで、情報が収集・共有されるため、機会を生かすため、あるいはネガティブなリスクによりよく対処するために、戦略を調整することができる。
Application of a consistent approach to identify, assess, respond to, and communicate risk throughout the enterprise about the entire portfolio of ICT risk disciplines will help ensure that leaders and executives are always informed and able to support effective strategic and tactical decisions. While the methods for managing risk among different disciplines will vary widely, an ICT-wide approach to directing that risk management, reporting and monitoring the results, and adjusting to optimize achievement of enterprise objectives will provide valuable benefits.	ICTリスク分野のポートフォリオ全体について、リスクを特定し、評価し、対応し、企業全体に伝達する一貫したアプローチを適用することは、リーダーやエグゼクティブが常に情報を得て、効果的な戦略・戦術的決定をサポートできることを保証するのに役立つ。異なる分野間でのリスク管理の方法は大きく異なるが、リスク管理を指示し、結果を報告し、監視し、企業目標の達成を最適化するための調整を行うICT全体のアプローチは、貴重な利益をもたらすであろう。

 

目次...

Executive Summary	エグゼクティブサマリー
1 Introduction	1 はじめに
1.1 Purpose and Scope	1.1 目的と範囲
1.2 Document Structure	1.2 文書の構成
2 Introduction to ICTRM and Challenges with ERM Integration	2 ICTRMの紹介とERM統合の課題
2.1 Comparing ICTRM and ERM	2.1 ICTRMとERMの比較
2.2 ICTRM Life Cycle	2.2 ICTRMのライフサイクル
2.3 ICTRM and ERM Integration	2.3 ICTRMとERMの統合
2.4 Shortcomings of Typical Approaches to ICTRM	2.4 ICTRMの典型的なアプローチの欠点
2.4.1 Increasing System and Ecosystem Complexity	2.4.1 システムとエコシステムの複雑化
2.4.2 Lack of Standardized Measures	2.4.2 標準化された尺度の欠如
2.4.3 Informal Analysis Methods	2.4.3 非公式な分析方法
2.4.4 Overly Focused on the System Level	2.4.4 システムレベルへの過度なフォーカス
2.4.5 The Gap Between ICTRM Output and ERM Input	2.4.5 ICTRMのアウトプットとERMのインプットの間のギャップ
2.4.6 Losing the Context of the Positive Risk	2.4.6 ポジティブリスクのコンテクストの喪失
3 ICT Risk Considerations	3 ICTリスクに関する考察
3.1 Identify the Context	3.1 コンテクストの特定
3.1.1 Risk Governance	3.1.1 リスクガバナンス
3.1.2 Risk Appetite and Risk Tolerance	3.1.2 リスクアペタイトとリスクトランザランス
3.1.3 Risk Management Strategy	3.1.3 リスクマネジメント戦略
3.2 Identify the Risks	3.2 リスクの特定
3.2.1 Inventory and Valuation of Assets	3.2.1 資産の棚卸し及び評価
3.2.2 Determination of Potential Threats	3.2.2 潜在的な脅威の特定
3.2.3 Determination of Exploitable and Susceptible Conditions	3.2.3 ExploitableとSusceptibleの状態の決定
3.2.4 Evaluation of Potential Consequences	3.2.4 潜在的な結果の評価
3.2.5 Risk Register Use	3.2.5 リスクレジスターの利用
3.3 Analyze (Quantify) the Risks	3.3 リスクの分析(定量化)
3.3.1 Risk Analysis Types	3.3.1 リスク分析の種類
3.3.2 Techniques for Estimating Likelihood and Impact	3.3.2 尤度及び影響の推定技法
3.4 Prioritize Risks	3.4 リスクの優先順位付け
3.5 Plan and Execute Risk Response Strategies	3.5 リスク対応戦略の立案と実行
3.6 Monitor, Evaluate, and Adjust Risk Management	3.6 リスクマネジメントの監視、評価、調整
3.6.1 When a Risk Event Passes Without Triggering the Event	3.6.1 リスク事象が誘発されずに経過した場合
3.7 Considerations of Positive Risks as an Input to ERM	3.7 ERMのインプットとしてのポジティブリスクの検討
4 Building ERRs and ERPs from ICTRM-Specific Risk Registers	4 ICTRM固有のリスクレジスターからのERRとERPの構築
4.1 Creating and Maintaining Enterprise-Level ICT Risk Registers	4.1 企業レベルのICTリスクレジスターの作成と維持
4.2 Creating the Enterprise Risk Register (ERR)	4.2 エンタープライズリスクレジスター（ERR）の作成
4.3 Developing the Enterprise Risk Profile (ERP)	4.3 エンタープライズリスクプロファイル（ERP）の作成
4.4 Translating the ERP to Inform Leadership Decisions	4.4 リーダーシップの意思決定に情報を提供するためのERPの翻訳
5 Enterprise Strategy for ICT Risk Coordination	5 ICTリスク調整のための企業戦略
5.1 Risk Integration and Coordination Activities	5.1 リスクの統合と調整活動
5.1.1 Detailed Risk Integration Strategy	5.1.1 詳細なリスク統合戦略
5.1.2 Risk Monitoring and Communication Activities	5.1.2 リスクの監視とコミュニケーション活動
5.2 Aggregation and Normalization of Risk Registers	5.2 リスクレジスターの集約と正規化
5.2.1 Aggregation of ICT Risk Information	5.2.1 ICTリスク情報の集約
5.2.2 Normalization of Risk Register Information	5.2.2 リスクレジスター情報の正規化
5.2.3 Integrating Risk Register Details	5.2.3 リスクレジスターの詳細の統合
5.3 Adjusting Risk Responses	5.3 リスク対応の調整
5.3.1 Factors Influencing Prioritization	5.3.1 優先順位付けに影響を与える要因
5.3.2 ICT Risk Optimization	5.3.2 ICTリスクの最適化
5.3.3 ICT Risk Priorities at Each Enterprise Level	5.3.3 各企業レベルのICTリスク優先度
5.4 Enterprise Adjustments Based on ICT Risk Results	5.4 ICTリスク結果に基づく企業の調整
5.4.1 Adjustments to ICT Program Budget Allocation	5.4.1 ICTプログラム予算配分の調整
5.4.2 Adjustments to Risk Appetite and Risk Tolerance	5.4.2 リスクアペタイトとリスクトレランスの調整
5.4.3 Reviewing Whether Constraints Are Overly Stringent	5.4.3 制約が厳しすぎないかどうかの見直し
5.4.4 Adjustments to Priority	5.4.4 優先順位の調整
References	参考文献
List of Appendices	附属書リスト
Appendix A - Acronyms and Abbreviations	附属書A - 頭字語および略語
Appendix B - Notional Example of a Risk Detail Record (RDR)	附属書B - リスク詳細記録(RDR)の想定例

 

次に SP 800-221Aの方...

・2022.07.20 SP 800-221A (Draft) Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio

 ・[PDF] SP 800-221A (Draft)

 

1 Introduction	1 はじめに
1.1 Purpose and Scope	1.1 目的と範囲
1.2 Publication Contents	1.2 出版物の内容
2 Information and Communications Technology Areas	2 情報通信技術分野
3 ICT Risk Outcomes Framework	3 ICTリスクアウトカムフレームワーク
References	参考文献