NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用
こんにちは、丸山満彦です。
サイバーセキュリティとERMとの連携である、NISTIR 8286シリーズですが、8286Dも確定し、全て確定しましたね。。。
・2022.11.17 NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response
| NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response | NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネスインパクト分析の使用 |
| Abstract | 概要 |
| While business impact analysis (BIA) has historically been used to determine availability requirements for business continuity, the process can be extended to provide a broad understanding of the potential impacts of any type of loss on the enterprise mission. The management of enterprise risk requires a comprehensive understanding of mission-essential functions (i.e., what must go right) and the potential risk scenarios that jeopardize those functions (i.e., what might go wrong). The process described in this publication helps leaders determine which assets enable the achievement of mission objectives and evaluate the factors that render assets as critical and sensitive. Based on those factors, enterprise leaders provide risk directives (i.e., risk appetite and tolerance) as input to the BIA. System owners then apply the BIA to developing asset categorization, impact values, and requirements for the protection of critical or sensitive assets. The output of the BIA is the foundation for the Enterprise Risk Management (ERM)/Cybersecurity Risk Management (CSRM) integration process, as described in the NIST Interagency Report (IR) 8286 series, and enables consistent prioritization, response, and communication regarding information security risk. | ビジネス影響分析(BIA)は、これまで事業継続のための可用性要件を決定するために使用されてきたが、このプロセスを拡張することで、あらゆる種類の損失がエンタープライズのミッションに与える潜在的な影響を幅広く理解することができる。エンタープライズリスクの管理には、ミッションに不可欠な機能(すなわち、正しく機能しなければならないこと)と、それらの機能を危険にさらす潜在的なリスクシナリオ(すなわち、うまくいかないかもしれないこと)を包括的に理解することが必要である。本書で説明するプロセスは、リーダーがミッション目標の達成を可能にするのはどの資産かを判断し、資産を重要かつ機密であると判断する要素を評価するのに役立つ。これらの要因に基づき、エンタープライズのリーダーはリスク指令(すなわち、リスク選好度と許容度)をBIAへの入力として提供する。次にシステム所有者は、BIAを適用して、資産の分類、影響度、および重要資産や機密資産の保護要件を作成する。BIAのアウトプットは、NIST Interagency Report(IR)8286シリーズに記載されているように、エンタープライズリスクマネジメント(ERM)/サイバーセキュリティリスクマネジメント(CSRM)統合プロセスの基盤となり、情報セキュリティリスクに関する一貫した優先順位付け、対応、コミュニケーションを可能にする。 |
・[PDF] NISTIR 8286D
目次...
| Table of Contents | 目次 |
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction | 1. はじめに |
| 1.1. Benefits of Extending the BIA for Risk Types | 1.1. BIAをリスクタイプに拡張するメリット |
| 1.2. Foundational Practices for Business Impact Analysis | 1.2. ビジネス影響分析の基礎的な実践 |
| 1.3. Document Structure | 1.3. 文書構造 |
| 2. Cataloging and Categorizing Assets Based on Enterprise Value | 2. エンタープライズの価値に基づく資産のカタログ化および分類 |
| 2.1. Identification of Enterprise Business Asset Types | 2.1. エンタープライズ・ビジネス資産の種類の特定 |
| 2.2. The Business Impact Analysis Process | 2.2. ビジネス影響分析プロセス |
| 2.3. Determining Asset Value to Support CSRM Activities | 2.3. CSRM活動を支援するための資産価値の決定 |
| 2.4. Determining Loss Scenarios and Their Consequences | 2.4. 損失シナリオとその結果の決定 |
| 2.5. Business Impact Analysis in Terms of Criticality and Sensitivity | 2.5. 重要度・感度の観点からのビジネス影響分析 |
| 2.6. Using a BIA to Record Interdependencies | 2.6. 相互依存関係を記録するためのBIAの使用 |
| 2.7. Consistent Business Impact Analysis Through an Enterprise Approach | 2.7. エンタープライズ・アプローチによる一貫したビジネス影響分析 |
| 2.8. Using a BIA to Support an Enterprise Registry of System Assets | 2.8. システム資産のエンタープライズ登録を支援するためのBIAの使用 |
| 3. Conclusion | 3. 結論 |
| References | 参考文献 |
| Appendix A. List of Symbols, Abbreviations, and Acronyms | 附属書A.記号・略語・頭字語の一覧表 |
エグゼクティブ・サマリー
| Executive Summary | エグゼクティブサマリー |
| Risk is measured in terms of impact on enterprise mission, so it is vital to understand the various information and technology (IT) assets whose functions enable that mission. Each asset has a value to the enterprise. For government enterprises, many of those IT assets are key components for supporting critical services provided to citizens. For corporations, IT assets directly influence enterprise capital and valuation, and IT risks can have a direct impact on the balance sheet or budget. For each type of enterprise, it is both vital and challenging to determine the conditions that will truly impact a mission. Government agencies must provide critical services while adhering to priority directives from senior leaders. In the commercial world, mission priority is often driven by long-term goals and factors that might impact the next quarter’s earnings call. Therefore, it is highly important to continually analyze and understand the enterprise resources that enable enterprise objectives and that can be jeopardized by cybersecurity risks. | リスクは、エンタープライズのミッションへの影響という観点から評価されるため、そのミッションを実現する様々な情報・技術(IT)資産を理解することが重要である。各資産はエンタープライズにとって価値がある。政府系エンタープライズの場合、これらのIT資産の多くは、市民に提供される重要なサービスを支える重要な構成要素である。エンタープライズの場合、IT資産はエンタープライズの資本や評価に直接影響し、ITリスクは貸借対照表や予算に直接的な影響を与える可能性がある。それぞれのエンタープライズにとって、ミッションに真に影響を与える状況を判断することは、極めて重要であると同時に困難でもある。政府機関では、上級指導者からの優先的な指示を守りながら、重要なサービスを提供しなければならない。一方、民間のエンタープライズでは、ミッションの優先順位は、長期的な目標や次の四半期の決算に影響を与えるような要因によって左右されることがよくある。したがって、エンタープライズの目標を実現し、サイバーセキュリティのリスクによって危険にさらされる可能性のあるエンタープライズリソースを継続的に分析し、理解することが非常に重要である。 |
| The NIST Interagency Report (IR) 8286 series has coalesced around the risk register as a construct for storing and a process for communicating risk data [NISTIR8286]. Another critical artifact of risk management that serves as both a construct and a means of communication with the risk register is the Business Impact Analysis (BIA) Register. The BIA examines the potential impacts associated with the loss or degradation of an enterprise’s technology-related assets based on a qualitative or quantitative assessment of the criticality and sensitivity of those assets and stores the results in the BIA Register. An asset criticality or resource dependency assessment identifies and prioritizes the information assets that support the enterprise’s critical missions. Similarly, assessments of asset sensitivity identify and prioritize information assets that store, process, or transmit information that must not be modified or disclosed to unauthorized parties. In the cybersecurity realm, the use of the BIA has historically been limited to calculations of quality-based and time-based objectives for incident handling (including continuity of operations and disaster recovery). | NIST Interagency Report (IR) 8286 シリーズは、リスクデータを保存し、伝達するためのプロセスとして、リスク登録の中心にまとまった[NISTIR8286]。リスク登録の構成と伝達手段の両方として機能するリスク管理のもう一つの重要な成果物は、ビジネス影響度分析(BIA)登録である。BIAは、エンタープライズの技術関連資産の損失または劣化に関連する潜在的な影響を、それらの資産の重要性と感度の定性的または定量的評価に基づいて調査し、その結果をBIA登録簿に保存する。資産の重要性またはリソース依存の評価では、エンタープライズの重要なミッションを支える情報資産を特定し、優先順位をつける。同様に、資産の機密性の評価では、不正な者に変更または開示されてはならない情報を保存、処理、または伝送する情報資産を特定し、優先順位を付けます。サイバーセキュリティの分野では、BIAの使用は歴史的に、インシデント処理(業務継続や災害復旧を含む)のための品質ベースおよび時間ベースの目標の計算に限られている。 |
| Because the BIA serves as a nexus for understanding risk (which is the measurement of uncertainty on the mission), it provides a basis for risk appetite and tolerance values as part of the enterprise risk strategy.[1] That guidance supports performance and risk metrics based on the relative value of enterprise assets to communicate and monitor Cybersecurity Risk Management[2] (CSRM) activities, including measures determined to be key performance indicators (KPIs) and key risk indicators (KRIs). The BIA supports asset classification that drives requirements, risk communications, and monitoring. | BIAは、リスク(ミッションに関する不確実性の測定)を理解するための結節点として機能するため、エンタープライズリスク戦略の一部としてリスク選好度と許容値の根拠を提供する。 そのガイダンスは、主要業績評価指標(KPI)および主要リスク指標(KRI)であると決定した指標を含むサイバーセキュリティリスク管理(CSRM)活動を伝達および監視するためのエンタープライズ資産の相対価値に基づく業績およびリスク指標を支援している[2]。BIAは、要件、リスクコミュニケーション、およびモニタリングを推進するための資産分類を支援する。 |
| Expanding use of the BIA to include confidentiality and integrity considerations supports comprehensive risk analysis. The basis of asset valuation on enterprise impact helps to better align risk decisions to enterprise risk strategy. CSRM/ERM integration helps to complete the risk cycle by informing future iterations of impact analysis based on previous information gained through cybersecurity risk register (CSRR) aggregation, as detailed in NIST IR 8286C. As organizational and enterprise leaders gain an understanding of aggregate risk exposure and composite impact, that information helps adjust risk expectations (including business impact guidance to ensure an ongoing balance among asset value, resource optimization, and risk considerations). | BIAの利用を拡大し、機密性と完全性への配慮を含めることで、包括的なリスク分析が可能になる。エンタープライズへの影響に基づく資産評価により、リスクに関する意思決定とエンタープライズのリスク戦略との整合性を高めることができる。CSRM/ERMの統合は、NIST IR 8286Cに詳述されているように、サイバーセキュリティリスク登録(CSRR)集計を通じて得られた過去の情報に基づいて、影響分析の将来の反復に情報を提供することによって、リスクサイクルを完成させるのに役立つ。組織とエンタープライズのリーダーは、集約されたリスクエクスポージャーと複合的な影響について理解することで、その情報はリスク予想(資産価値、リソース最適化、リスク考慮の間の継続的バランスを確保するためのビジネス影響ガイダンスを含む)を調整するのに役立つ。 |
| The BIA process enables system owners to record the benefits provided by an asset by considering the contribution to the enterprise, particularly in terms of mission, finance, and reputational aspects. Once informed about how each asset supports enterprise value, system owners can then work with risk managers to determine the implications of uncertainty on those assets. | BIAプロセスにより、システム所有者は、特にミッション、財務、評判といった側面からエンタープライズへの貢献を考慮し、資産によってもたらされる利益を記録することができる。各資産がどのようにエンタープライズ価値を支えているかを知ることができれば、システムオーナーはリスクマネージャーと協力して、その資産に不確実性が及ぼす影響を判断することができる。 |
| It is more critical than ever to have centralized and reliable asset information recorded in the BIA Register since enterprises rely on various types of information and communications technology (ICT) resources, which are increasingly targeted by adversaries. The BIA process provides information that can be consistently recorded in a centralized registry of important asset management information, such as system ownership, contact information for key stakeholders, and characteristics of the physical devices (or services). Since asset management is an important element of cybersecurity risk management, this information is quite valuable for protecting the asset, detecting cyber events, responding quickly to potential issues, and recovering services when necessary. | エンタープライズはさまざまな種類の情報通信技術(ICT)資源に依存しており、これらの資源は敵対勢力にますます狙われているため、BIA登録簿に記録される一元化された信頼性の高い資産情報がこれまで以上に重要となっている。BIAプロセスは、システムの所有権、主要な関係者の連絡先、物理的な装置(またはサービス)の特性など、重要な資産管理情報を一元的に登録することで、一貫して記録できる情報を提供するものである。資産管理はサイバーセキュリティのリスク管理の重要な要素であるため、この情報は資産の保護、サイバーイベントの検出、潜在的な問題への迅速な対応、必要時のサービスの回復にとって非常に貴重なものである。 |
| Public- and private-sector enterprises must maintain a continual understanding of potential business impacts, the risk conditions that might lead to those impacts, and the steps being taken to address those impacts (as recorded in various risk registers and, ultimately, in the Enterprise Risk Profile). In many cases, when a company or agency is asked about risks, they are actually being asked to describe potential impacts. Companies must describe the risk factors that could have a material adverse effect on the enterprise’s financial position, its ability to operate, or its corporate cash flow. Agencies must report to legislative and regulatory stakeholders about adverse impacts that could impair agency missions and funding. Use of the BIA methodology to categorize the criticality and sensitivity of enterprise assets enables effective risk management and the subsequent integration of reporting and monitoring at the enterprise level to ensure that risk and resource utilization are optimized in light of the value of those assets. | 公共部門および民間部門のエンタープライズは、潜在的なビジネスへの影響、それらの影響をもたらす可能性のあるリスク状況、およびそれらの影響に対処するための措置(各種リスク登録簿、最終的にはエンタープライズリスクプロファイルに記録される)に対する継続的な理解を維持しなければならない。多くの場合、エンタープライズや機関がリスクについて尋ねられるとき、実際には潜在的な影響について説明するよう求められている。エンタープライズは、エンタープライズの財政状態、経営能力、またはエンタープライズのキャッシュフローに重大な悪影響を及ぼす可能性のあるリスク要因を記述しなければならない。省庁は、省庁の使命や資金調達を損なう可能性のある悪影響について、立法・規制上の利害関係者に報告しなければならない。BIAの手法を使用してエンタープライズ資産の重要度と機密性を分類することで、効果的なリスク管理が可能になり、その後のエンタープライズレベルでの報告と監視の統合により、リスクとリソースの利用がこれらの資産の価値に照らして最適化されることが保証される。 |
| [1] Office of Management and Budget (OMB) Circular A-123 defines risk appetite as “the broad-based amount of risk an organization is willing to accept in pursuit of its mission/vision. It is established by the organization’s most senior level leadership and serves as the guidepost to set strategy and select objectives.” The same document defines risk tolerance as “the acceptable level of variance in performance relative to the achievement of objectives.” | [1] 米行政管理予算局(OMB)Circular A-123では、リスク選好度を「組織がその使命/ビジョンを追求するために受け入れようとする広範なリスク量」と定義している。これは、「組織の最上位レベルのリーダーシップによって確立され、戦略を設定し、目標を選択するための道標として機能する 」と定義している。同文書では、リスク許容度を 「目標達成に対するパフォーマンスのばらつきの許容レベル 」と定義している。 |
| [2] Cybersecurity Risk Management, or CSRM, is the process of managing uncertainty on or within information and technology. | [2] サイバーセキュリティリスク管理、または CSRM は、情報および技術上の、または技術内の不確実性を管理するプロセスである。 |
図1:BIAプロセスとサイバーセキュリティリスクマネジメントの統合
| Step A – Based on the enterprise mission, executives identify the products and business processes that are essential to the successful operation of the enterprise. Based on that list, the executives and senior leaders identify the enterprise-level assets[6] that enable those functions. The identification of enterprise-level assets should consider the interdependencies of systems and assets. Those assets inherit the criticality/priority of the functions they support. | ステップ A - エンタープライズのミッションに基づき、経営幹部は、エンタープライズの成功に不可欠な製品とビジネスプロセスを特定する。そのリストに基づいて、エグゼクティブとシニアリーダーは、それらの機能を実現する企業レベルの資産[6]を特定する。企業レベルの資産の特定は、システムと資産の相互依存関係を考慮する必要がある。これらの資産は、それらがサポートする機能の重要度/優先度を引き継ぎます。 |
| Step B – Leaders establish and communicate the risk appetite associated with those enterprise assets, and organizational managers determine the resulting risk tolerance. | ステップ B - リーダーは、それらの企業資産に関連するリスク許容度を設定し、伝達し、組織管理者は、その結果としてのリスク許容度を決定する。 |
| Step C – As part of the CSRM process, the system owner will determine the extent to which every system or activity enables a mission/business-critical function (as illustrated in Figure 2). The criticality/priority direction from leaders, expressed through risk appetite/risk tolerance statements (Step B), is used to help determine what the impact of losses would be on confidentiality, integrity, or availability. That impact understanding and the basis for those determinations are recorded in the system BIA Register. [7] |
ステップ C - CSRMプロセスの一環として、システム所有者は、すべてのシステムまたはアクティビティが、ミッション/ビジネスクリティカルな機能(図2に図示)をどの程度可能にするかを決定する。リスク選好度/リスク許容度ステートメント(ステップB)を通じて表現されたリーダーからの重要度/優先度の指示は、損失が機密性、完全性、または可用性に及ぼす影響を判断するために使用される。その影響の把握とその判断の根拠は、システムのBIA登録に記録される。[7] |
 |
|
| Figure 2: Level 3 BIA Activities |
図2:レベル3のBIA活動 |
| Step D – The analysis and results provide the input into the CSRM process illustrated in the diagram and described in NISTIRs 8286A, 8286B, and 8286C. | ステップ D - 分析と結果は、図に示され、NISTIRs 8286A、8286B、8286Cで説明されているCSRMプロセスへのインプットを提供する。 |
| Step E – Residual risks, particularly those that impact critical and sensitive resources, are highlighted in the Level 2 risk registers as those CSRRs are normalized and aggregated. Of important note is that cybersecurity is one component of technology risk that feeds operational risks (OpRisk). | ステップ E - 残留リスク、特に重要で機密性の高いリソースに影響を与えるリスクは、CSRR が正規化され、集約されることで、レベル 2 リスク登録でハイライトされる。 重要なことは、サイバーセキュリティは、オペレーショナルリスク(OpRisk)を養うテクノロジーリスクの1つの要素であるということである。 |
| Step F – Enterprise leaders consider the results of ongoing risk activities reported through Level 2 CSRRs as integrated into an Enterprise Cybersecurity Risk Register (E-CSRR) and assess the aggregate impact of the Level 3 and Level 2 risks. This understanding of the composite impact on mission/business-critical functions (including OpRisk) is used to prioritize risk response based on enterprise finance, mission, and reputation consequences.[8] Composite understanding also helps to confirm that risks are within the stated risk appetite or to identify necessary adjustments (e.g., implementing controls, risk mitigation). If adjustments are necessary, an action plan is created that will result in the appropriate increase or decrease of risk appetite to achieve the appropriate impact levels. | ステップ F - エンタープライズのリーダーは、レベル 2 CSRR を通じて報告された継続的なリスク活動の結果を、エンタープライズ・サイバーセキュリティ・リスク登録(E-CSRR)に統合して検討し、レベル 3 とレベル 2のリスクの複合的な影響を評価する。ミッション/ビジネスクリティカルな機能(OpRisk を含む)に対する複合的な影響のこの理解は、企業財務、ミッション、レピュテーションへの影響に基づいてリスク対応の優先順位付けに用いられる[8]。 複合的な理解はまた、リスクが規定リスク許容度の範囲内にあることを確認し、必要な調整(例えば、統制の実施、リスク軽減)を特定するのに役立つ。調整が必要な場合は、適切な影響レベルを達成するために、リスクアペタイトを適切に増減させるアクションプランが作成される。 |
| [6] The term ‘asset’ or ‘assets’ is used in multiple frameworks and documents. For the purposes of this publication, ‘assets’ are defined as technologies that may comprise an information system. Examples include laptop computers, desktop computers, servers, sensors, data, mobile phones, tablets, routers, and switches. In instances where the authors mean ‘assets’ as they appear on a balance sheet, the word ‘asset’ will be proceeded by words such as ‘high-level’ or ‘balance sheet’ or ‘Level 1’ to differentiate context. | [6] 「資産」または「資産」という用語は、複数のフレームワークや文書で使用されています。本書では、「資産」を情報システムを構成する可能性のある技術として定義しています。 例えば、ノートパソコン、デスクトップパソコン、サーバー、センサー、データ、携帯電話、タブレット端末、ルーター、スイッチなどである。 著者が貸借対照表上の「資産」を意味する場合、文脈を区別するために、「資産」という語の後に「ハイレベル」、「貸借対照表」、「レベル1」などの語を付すことにしている。 |
| [7] A BIA register records business impact information about relevant assets; the register is related to but separate from a risk register, which is a repository of risk information including the data understood about risks over time. |
[7]BIA登録簿は、関連する資産に関するビジネスインパクト情報を記録する。登録簿は、リスク登録簿と関連しているが、リスク登録簿とは別物であり、リスクについて時系列で理解されるデータを含むリスク情報のリポジトリである。 |
| [8] Operational risk is discussed more fully in NISTIR 8286C Section 3.1. | [8] オペレーショナルリスクについては、NISTIR8286Cの3.1節でより詳細に議論されている。 |
NISTIR 8286 関連
| Date | St. | Web | ||
| 2020.10.13 | Final | NISTIR 8286 | Integrating Cybersecurity and Enterprise Risk Management (ERM) | サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合 |
| 2021.11.12 | Final | NISTIR 8286A | Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management | エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定 |
| 2022.02.10 | Final | NISTIR 8286B | Prioritizing Cybersecurity Risk for Enterprise Risk Management | エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け |
| 2022.09.14 | Final | NISTIR 8286C | Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight | エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング |
| 2022.11.17 | Final | NISTIR 8286D | Using Business Impact Analysis to Inform Risk Prioritization and Response | リスクの優先順位付けと対応を行うためのビジネス影響分析の使用 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.11.22 NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用
・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)
・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)
・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)
・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
関連する情報
・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ
・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド
・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み
COSO 関連
・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク
・2020.06.23 GAO GreenbookとOMB Circular No. A-123
少し(^^)遡ります。。。
・2011.12.22 COSO Exposure Draft: International Control Integrated Framework
・2009.01.27 COSO Guidance on Monitoring Internal Control Systems
・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems
・2007.09.15 COSO Guidance on Monitoring Internal Control Systems
・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)
次の3つは歴史を知る上でも重要↓
・2006.08.28 SAS No.55の内部統制の要素
・2006.07.31 内部統制の構成要素比較 日本語
・2006.07.30 内部統制の構成要素比較
・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies
この4つは歴史的にも重要かもですね。。。↓
・2006.05.10 CoCoにおける取締役会の統制上の責任
・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」
・2006.04.24 米国 30年前のIT全般統制の項目
・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている
・2005.01.30 NHK COSOを導入
・
Comments