« 内閣官房 (NISC) 意見募集 「サイバーセキュリティ意識・行動強化プログラム(案)」 | Main | 中国 意見募集 ネットワークセキュリティ法の改正案 »

2022.09.16

NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

こんにちは、丸山満彦です。

NISTがNISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためにサイバーセキュリティ・リスクをステージングするを公表しましたね。。。

8286Bが、システムレベル、組織レベルのモニタリングをカバーするのに対し、8286Cはエンタープライズレベルのモニタリングをカバーするという分担です。。。

これで残るは、8286Dだけとなりました。。。

 

NIST - ITL

・2022.09.14 NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight

NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight NISTIR 8286C エンタープライズ・リスクマネジメントとガバナンスの監視のためのサイバーセキュリティリスクのステージング
Abstract 概要
This document is the third in a series that supplements NIST Interagency/Internal Report (NISTIR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This series provides additional details regarding the enterprise application of cybersecurity risk information; the previous documents, NISTIRs 8286A and 8286B, provided details regarding stakeholder risk direction and methods for assessing and managing cybersecurity risk in light of enterprise objectives. NISTIR 8286C describes how information, as recorded in cybersecurity risk registers (CSRRs), may be integrated as part of a holistic approach to ensuring that risks to information and technology are properly considered for the enterprise risk portfolio. This cohesive understanding supports an enterprise risk register (ERR) and enterprise risk profile (ERP) that, in turn, support the achievement of enterprise objectives. 本書は、NIST Interagency/Internal Report (NISTIR) 8286「サイバーセキュリティとエンタープライズ・リスクマネジメント (ERM) の統合」を補足するシリーズの3作目である。本シリーズは、サイバーセキュリティ・リスク情報のエンタープライズへの適用に関する追加的な詳細を提供する。前回の文書であるNISTIR 8286Aおよび8286Bでは、エンタープライズの目的に照らしたサイバーセキュリティリスクの評価と管理のための利害関係者のリスクの方向性と方法に関する詳細が記載されていた。NISTIR 8286C では、サイバーセキュリティリスクレジスター(CSRR)に記録された情報を、エンタープライズのリスクポートフォリオにおいて情報と技術に対するリスクを適切に考慮するための全体的なアプローチの一部として統合する方法について説明している。この統合的な理解は、エンタープライズリスク登録(ERR)およびエンタープライズ・リスクプロファイル(ERP)をサポートし、ひいてはエンタープライズ目標の達成を支援することになる。

 

・[PDF] NISTIR 8286C

20221122-42434

Executive Summary エグゼクティブサマリー
1. Introduction 1. はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2. Document Structure 1.2. 文書構成
2. Aggregation and Normalization of Cybersecurity Risk Registers  2. サイバーセキュリティリスク登録の集計と正規化 
2.1. Aggregation of Cybersecurity Risk Registers 2.1. サイバーセキュリティリスク登録の集計
2.2. Normalization of CSRR Information 2.2. CSRR情報の正規化
2.3. Integrating CSRR Details 2.3. CSRRの詳細の統合
3. Integration of Cybersecurity Risk into the ERR/ERP 3. サイバーセキュリティリスクのERR/ERPへの統合
3.1. Operational and Enterprise impact of Cybersecurity 3.1. サイバーセキュリティの運用とエンタープライズへの影響
3.2. Dependencies Among Enterprise Functions and Technology Systems 3.2. エンタープライズ機能及び技術システム間の依存関係
3.3. Enterprise Value of the ERP 3.3. ERPのエンタープライズ価値
3.4. Typical Enterprise Objectives, Functions, and Prioritization 3.4. 典型的なエンタープライズ目標、機能、および優先順位付け
4. Risk Governance as the Basis for Cybersecurity Risk Management 4. サイバーセキュリティ・リスクマネジメントの基礎となるリスクガバナンス
4.1. Frameworks in Support of Risk Governance and Risk Management 4.1. リスクガバナンスとリスクマネジメントを支援するフレームワーク
4.2. Adjustments to Risk Direction 4.2. リスクディレクションの調整
4.2.1. Adjustments to Cybersecurity Program Budget Allocation  4.2.1. サイバーセキュリティプログラムの予算配分の調整 
4.2.2. Adjustments to Risk Appetite and Risk Tolerance  4.2.2. リスク選好度及びリスク許容度の調整 
4.2.3. Reviewing Whether Constraints are Overly Stringent 4.2.3. 制約が厳しすぎるかどうかの見直し
4.2.4. Adjustments to Priority 4.2.4. 優先順位の調整
5. Cybersecurity Risk Monitoring, Evaluation, and Adjustment  5. サイバーセキュリティリスクの監視・評価・調整 
5.1. Key CSRM Mechanisms 5.1. 主要なCSRMメカニズム
5.2. Monitoring Risks 5.2. リスクの監視
5.3. Evaluating Risks 5.3. リスクの評価
5.4. Adjusting Risk Responses 5.4. リスク対応の調整
5.5. Monitor, Evaluate, Adjust Examples 5.5. 監視、評価、調整の例
References 参考文献

 

 

エグゼクティブ・サマリー...

Executive Summary  エグゼクティブサマリー 
This NIST Interagency Report (NISTIR) explores the methods for integrating disparate cybersecurity risk management (CSRM) information from throughout the enterprise to create a composite Enterprise Risk Profile (ERP) to inform company executives’ and agency officials’ enterprise risk management (ERM) deliberations, decisions, and actions. It describes the inclusion of cybersecurity risks as part of financial, valuation, mission, and reputation exposure. Fig. 1 expands the enterprise risk cycle from previous reports to remind the reader that the input and sentiments of external stakeholders are a critical element of risk decisions.[1]  この NIST Interagency Report (NISTIR) は、エンタープライズ幹部や政府機関のエンタープライズ・リスクマネジメント (ERM) の審議、決定、行動に情報を提供するための複合エンタープライズリスクプロファイル (ERP) を作成するために、エンタープライズ全体から異種のサイバーセキュリティリスクマネジメント (CSRM) 情報を統合する方法を調査している。財務、評価、ミッション、レピュテーションのエクスポージャーの一部としてサイバーセキュリティリスクを含めることが説明されている。図1は、これまでの報告書にあったエンタープライズリスクサイクルを拡張し、外部の利害関係者の意見や感情がリスク決定の重要な要素であることを読者に思い起こさせるものである[1]。
The importance of information and technology risks to the enterprise risk posture makes it critical to ensure broad visibility about risk-related activities to protect enterprise reputation, finances, and objectives. A comprehensive enterprise risk register (ERR) and enterprise risk profile (ERP) support communication and disclosure requirements. The integration of CSRM activities supports understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, and cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities.   エンタープライズリスクポスチャにおける情報・技術リスクの重要性は、エンタープライズの評判、財務、目標を保護するために、リスク関連活動に関する幅広い可視性を確保することが重要であることを意味する。包括的なエンタープライズリスクレジスター(ERR)とエンタープライズリスクプロファイル(ERP)は、コミュニケーションと開示の要件を支援する。CSRM活動の統合は、エンタープライズ報告(例:損益計算書、貸借対照表、キャッシュフロー)及び公共部門の類似要件(例:充当・監督当局への報告)に関連するエクスポージャーの理解を支援する。 
This NISTIR explores the methods for integrating disparate cybersecurity risk management (CSRM) information from throughout the enterprise to create a composite understanding of the various cyber risks that may have an impact on the enterprise’s objectives.  The report continues the discussion where NISTIR 8286B concluded by focusing on the integration of data points to create a comprehensive view of opportunities and threats to the enterprise’s information and technology. Notably, because cybersecurity risk is only one of the dozens of risk types in the enterprise risk universe, that risk understanding will itself be integrated with similar aggregate observations of other collective risk points. このNISTIRは、エンタープライズの目標に影響を及ぼす可能性のある様々なサイバーリスクの複合的な理解を得るために、エンタープライズ全体から集めた異種のサイバーセキュリティリスクマネジメント(CSRM)情報を統合するための方法を探っている。 この報告書は、NISTIR 8286Bの結論である、エンタープライズの情報と技術に対する機会と脅威の包括的なビューを作成するためのデータポイントの統合に焦点を当てた議論を引き継いでいる。注目すべきは、サイバーセキュリティリスクは、エンタープライズのリスクユニバースにおける数十のリスクタイプの1つに過ぎないため、そのリスク理解自体が、他の集合的なリスクポイントの同様の集約的観測と統合されることである。
 1_20210707191501
Fig. 1. NISTIR 8286 Series Publications Describe C-SCRM/ERM Integration 図1. NISTIR 8286 シリーズは、C-SCRM/ERM の統合について説明している。
NISTIR 8286C discusses how risk governance elements such as enterprise risk strategy, appetite, tolerance, and capacity direct risk performance. By monitoring the results of CSRM activities at each hierarchical level, senior leaders can adjust various governance components (e.g., policy, procedures, skills) to achieve risk objectives. This report describes how the CSRM Monitor, Evaluate, and Adjust (MEA) process supports enterprise risk management. This process also supports a repeatable and consistent use of terms, including an understanding of how the context of various terms can vary depending on the enterprise’s perspective. That understanding helps to ensure effective CSRM communication and coordination.   NISTIR 8286Cは、エンタープライズのリスク戦略、リスク選好、リスク許容度、キャパシティといったリスクガバナンスの要素が、どのようにリスクパフォーマンスに影響を与えるかを論じている。各階層におけるCSRM活動の結果をモニタリングすることで、シニアリーダーは、リスク目標を達成するために様々なガバナンス要素(方針、手順、スキルなど)を調整することができる。本報告書では、CSRMの監視、評価、調整(MEA)プロセスが、どのようにエンタープライズのリスクマネジメントを支えているかを説明している。また、このプロセスは、エンタープライズの視点によって様々な用語の文脈がどのように異なるかについての理解を含め、反復可能で一貫性のある用語の使用を支援する。このような理解は、CSRMの効果的なコミュニケーションと調整を保証するのに役立つ。 
While ERM is a well-established field, there is an opportunity to expand and improve the body of knowledge regarding coordination among cybersecurity risk managers and those managing risk at the most senior levels. This series is intended to introduce this integration while recognizing the need for additional research and collaboration. Further points of discussion include NISTIR 8286D’s focus regarding a business impact assessment (BIA), which is a foundation of understanding exposure and opportunity [4]. NIST also continues to perform extensive research and publication development regarding metrics – a topic that will certainly support ERM/CSRM performance measurement, monitoring, and communication.  ERMは確立された分野であるが、サイバーセキュリティのリスク管理者と最上位レベルのリスク管理者の間の調整に関する知識の体系を拡大し、改善する機会が存在する。このシリーズは、さらなる研究と協力の必要性を認識しながら、この統合を紹介することを目的としている。さらに、NISTIR 8286D では、曝露と機会を理解するための基礎となる事業インパクト評価(BIA)に重点を置いて議論している [4]。NISTはまた、ERM/CSRMパフォーマンスの測定、モニタリング、およびコミュニケーションを確実に支援するトピックであるメトリクスに関する広範な研究と出版物の開発を継続している。
NISTIR 8286C continues the discussion regarding the inclusion of CSRM priorities and results in support of an improved understanding about organization and enterprise impacts of cybersecurity risks on financial, reputation, and mission considerations. NISTIR 8286C は、サイバーセキュリティリスクが財務、評判、ミッションに及ぼす組織やエンタープライズの影響に関する理解を深めるために、CSRM の優先事項と結果を含めることに関する議論を続けている。
[1] Key external stakeholders include shareholders, strategic partners, regulators, constituents, allies, and legislators.  [外部の主要なステークホルダーには、株主、戦略的パートナー、規制当局、有権者、同盟者、議員などが含まれる。

 

NISTIR 8286 関連

Date St. Web PDF  
2020.10.13  Final NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)  サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合
2021.11.12  Final NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
2022.02.10  Final NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management  エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
2022.09.14  Final NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
2022.06.09 draft NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)

・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

関連する情報

・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

COSO 関連

・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

少し(^^)遡ります。。。

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)

次の3つは歴史を知る上でも重要↓

・2006.08.28 SAS No.55の内部統制の要素

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

この4つは歴史的にも重要かもですね。。。↓

・2006.05.10 CoCoにおける取締役会の統制上の責任

・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」

・2006.04.24 米国 30年前のIT全般統制の項目

・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

・2005.01.30 NHK COSOを導入

|

« 内閣官房 (NISC) 意見募集 「サイバーセキュリティ意識・行動強化プログラム(案)」 | Main | 中国 意見募集 ネットワークセキュリティ法の改正案 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 内閣官房 (NISC) 意見募集 「サイバーセキュリティ意識・行動強化プログラム(案)」 | Main | 中国 意見募集 ネットワークセキュリティ法の改正案 »