NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
こんにちは、丸山満彦です。
NISTがNISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためにサイバーセキュリティ・リスクをステージングするを公表しましたね。。。
8286Bが、システムレベル、組織レベルのモニタリングをカバーするのに対し、8286Cはエンタープライズレベルのモニタリングをカバーするという分担です。。。
これで残るは、8286Dだけとなりました。。。
● NIST - ITL
・2022.09.14 NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight
NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight | NISTIR 8286C エンタープライズ・リスクマネジメントとガバナンスの監視のためのサイバーセキュリティリスクのステージング |
Abstract | 概要 |
This document is the third in a series that supplements NIST Interagency/Internal Report (NISTIR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This series provides additional details regarding the enterprise application of cybersecurity risk information; the previous documents, NISTIRs 8286A and 8286B, provided details regarding stakeholder risk direction and methods for assessing and managing cybersecurity risk in light of enterprise objectives. NISTIR 8286C describes how information, as recorded in cybersecurity risk registers (CSRRs), may be integrated as part of a holistic approach to ensuring that risks to information and technology are properly considered for the enterprise risk portfolio. This cohesive understanding supports an enterprise risk register (ERR) and enterprise risk profile (ERP) that, in turn, support the achievement of enterprise objectives. | 本書は、NIST Interagency/Internal Report (NISTIR) 8286「サイバーセキュリティとエンタープライズ・リスクマネジメント (ERM) の統合」を補足するシリーズの3作目である。本シリーズは、サイバーセキュリティ・リスク情報のエンタープライズへの適用に関する追加的な詳細を提供する。前回の文書であるNISTIR 8286Aおよび8286Bでは、エンタープライズの目的に照らしたサイバーセキュリティリスクの評価と管理のための利害関係者のリスクの方向性と方法に関する詳細が記載されていた。NISTIR 8286C では、サイバーセキュリティリスクレジスター(CSRR)に記録された情報を、エンタープライズのリスクポートフォリオにおいて情報と技術に対するリスクを適切に考慮するための全体的なアプローチの一部として統合する方法について説明している。この統合的な理解は、エンタープライズリスク登録(ERR)およびエンタープライズ・リスクプロファイル(ERP)をサポートし、ひいてはエンタープライズ目標の達成を支援することになる。 |
・[PDF] NISTIR 8286C
Executive Summary | エグゼクティブサマリー |
1. Introduction | 1. はじめに |
1.1 Purpose and Scope | 1.1 目的と範囲 |
1.2. Document Structure | 1.2. 文書構成 |
2. Aggregation and Normalization of Cybersecurity Risk Registers | 2. サイバーセキュリティリスク登録の集計と正規化 |
2.1. Aggregation of Cybersecurity Risk Registers | 2.1. サイバーセキュリティリスク登録の集計 |
2.2. Normalization of CSRR Information | 2.2. CSRR情報の正規化 |
2.3. Integrating CSRR Details | 2.3. CSRRの詳細の統合 |
3. Integration of Cybersecurity Risk into the ERR/ERP | 3. サイバーセキュリティリスクのERR/ERPへの統合 |
3.1. Operational and Enterprise impact of Cybersecurity | 3.1. サイバーセキュリティの運用とエンタープライズへの影響 |
3.2. Dependencies Among Enterprise Functions and Technology Systems | 3.2. エンタープライズ機能及び技術システム間の依存関係 |
3.3. Enterprise Value of the ERP | 3.3. ERPのエンタープライズ価値 |
3.4. Typical Enterprise Objectives, Functions, and Prioritization | 3.4. 典型的なエンタープライズ目標、機能、および優先順位付け |
4. Risk Governance as the Basis for Cybersecurity Risk Management | 4. サイバーセキュリティ・リスクマネジメントの基礎となるリスクガバナンス |
4.1. Frameworks in Support of Risk Governance and Risk Management | 4.1. リスクガバナンスとリスクマネジメントを支援するフレームワーク |
4.2. Adjustments to Risk Direction | 4.2. リスクディレクションの調整 |
4.2.1. Adjustments to Cybersecurity Program Budget Allocation | 4.2.1. サイバーセキュリティプログラムの予算配分の調整 |
4.2.2. Adjustments to Risk Appetite and Risk Tolerance | 4.2.2. リスク選好度及びリスク許容度の調整 |
4.2.3. Reviewing Whether Constraints are Overly Stringent | 4.2.3. 制約が厳しすぎるかどうかの見直し |
4.2.4. Adjustments to Priority | 4.2.4. 優先順位の調整 |
5. Cybersecurity Risk Monitoring, Evaluation, and Adjustment | 5. サイバーセキュリティリスクの監視・評価・調整 |
5.1. Key CSRM Mechanisms | 5.1. 主要なCSRMメカニズム |
5.2. Monitoring Risks | 5.2. リスクの監視 |
5.3. Evaluating Risks | 5.3. リスクの評価 |
5.4. Adjusting Risk Responses | 5.4. リスク対応の調整 |
5.5. Monitor, Evaluate, Adjust Examples | 5.5. 監視、評価、調整の例 |
References | 参考文献 |
エグゼクティブ・サマリー...
NISTIR 8286 関連
Date | St. | Web | ||
2020.10.13 | Final | NISTIR 8286 | Integrating Cybersecurity and Enterprise Risk Management (ERM) | サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合 |
2021.11.12 | Final | NISTIR 8286A | Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management | エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定 |
2022.02.10 | Final | NISTIR 8286B | Prioritizing Cybersecurity Risk for Enterprise Risk Management | エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け |
2022.09.14 | Final | NISTIR 8286C | Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight | エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング |
2022.06.09 | draft | NISTIR 8286D | Using Business Impact Analysis to Inform Risk Prioritization and Response | リスクの優先順位付けと対応を行うためのビジネス影響分析の使用 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)
・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)
・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)
・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
関連する情報
・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ
・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド
・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み
COSO 関連
・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク
・2020.06.23 GAO GreenbookとOMB Circular No. A-123
少し(^^)遡ります。。。
・2011.12.22 COSO Exposure Draft: International Control Integrated Framework
・2009.01.27 COSO Guidance on Monitoring Internal Control Systems
・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems
・2007.09.15 COSO Guidance on Monitoring Internal Control Systems
・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)
次の3つは歴史を知る上でも重要↓
・2006.08.28 SAS No.55の内部統制の要素
・2006.07.31 内部統制の構成要素比較 日本語
・2006.07.30 内部統制の構成要素比較
・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies
この4つは歴史的にも重要かもですね。。。↓
・2006.05.10 CoCoにおける取締役会の統制上の責任
・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」
・2006.04.24 米国 30年前のIT全般統制の項目
・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている
・2005.01.30 NHK COSOを導入
・
Comments