内閣官房 (NISC) 重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書
こんにちは、丸山満彦です。
内閣官房 NISC が重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書を公表しましたね。。。
● 内閣官房 (NIST)
・2023.07.04 重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書
これは、[PDF] 「重要インフラのサイバーセキュリティに係る安全基準等策定指針」で示すセキュリティ確保に向けた取組についての参考情報をサイバーセキュリティ部門(戦略マネジメント層、担当者層)向けに、提供するもののようですね。。。
具体的にはここ...
「4. リスクマネジメントの活用と危機管理」におけるリスクマネジメント等の主要なプロセス(下図の赤枠箇所)及び「5. 対策項目」におけ
る主なセキュリティ対策について、サイバーセキュリティ部門における取組を念頭に記載する。
目次...
1. はじめに
1.1. 手引書策定の目的
1.2. 手引書の記載範囲
1.3. 手引書の適用範囲
2. リスクマネジメントのフレームワーク
2.1. 全体像
2.2. 前提
3. コミュニケーション及び協議
4. 組織の状況の特定
4.1. 組織の状況及び特性の把握
4.2. 現在プロファイルの特定
5. リスクアセスメント
5.1. リスクアセスメントの実施
5.2. 制御システムのリスクアセスメント
6. リスク対応
6.1. 目標プロファイルの作成
6.2. ギャップ分析と優先順位付け
6.3. リスク対応計画
6.4. サプライチェーン・リスク対応
7. コンティンジェンシープラン及び事業継続計画の策定
7.1 コンティンジェンシープランの策定
7.2 事業継続計画(BCP)の策定
8. 運用
8.1. 人材育成
8.2. CSIRT等の整備
8.3. 平時におけるリスク対応
8.4. 危機管理
8.5. 演習・訓練
9. モニタリング及びレビュー
9.1. モニタリング実施計画の策定と実施
9.2. 内部監査の実施
9.3. モニタリング及びレビュー結果の反映方針の策定
10. 記録及び報告
10.1. 記録
10.2. 報告
11. 対策項目
11.1. 組織的対策
11.2. 人的対策
11.3. 物理的対策
11.4. 技術的対策
【別紙】対処態勢整備に係るサイバー攻撃リスクの特性並びに対応及び対策の考慮事項
参考文献
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.07.06 内閣官房 NISC サイバーセキュリティ戦略本部 第36回会合
・2023.07.06 内閣官房 (NISC) 政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)
Comments