米国 NIST IR 8286C エンタープライズリスクマネジメントと政府監視のためのサイバーセキュリティリスクのステージング
こんにちは、丸山満彦です。
NISTが
IR 8286Cの改訂版を公表していますね。。。変更履歴をみると参考文献の追加等であり、大きな変更では無いように思いますが、これを機会にもう一度見直し...
IR 8286 関連文書は次のとおりです。。。
| Series | Number | Title | Final | withdrawn | Draft2 | Draft1 |
| IR | 8286 | Integrating Cybersecurity and Enterprise Risk Management (ERM) | 2020.10.13 | 2020.07.09 | 2020.03.19 | |
| IR | 8286A | Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management | 2021.11.12 | 2021.07.06 | 2020.12.14 | |
| IR | 8286B | Prioritizing Cybersecurity Risk for Enterprise Risk Management | 2022.02.10 | 2021.09.01 | ||
| IR | 8286C | Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight | 2024.03.06 | 2022.09.14 | 2022.01.26 | |
| IR | 8286D | Using Business Impact Analysis to Inform Risk Prioritization and Response | 2022.11.17 | 2022.06.09 |
● NIST - ITL
・2024.03.06 NIST IR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight
| NIST IR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight | NIST IR 8286C エンタープライズリスクマネジメントとガバナンス監視のためのサイバーセキュリティリスクのステージング |
| Abstract | 概要 |
| This document is the third in a series that supplements NIST Interagency/Internal Report (NISTIR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This series provides additional details regarding the enterprise application of cybersecurity risk information; the previous documents, NISTIRs 8286A and 8286B, provided details regarding stakeholder risk direction and methods for assessing and managing cybersecurity risk in light of enterprise objectives. NISTIR 8286C describes how information, as recorded in cybersecurity risk registers (CSRRs), may be integrated as part of a holistic approach to ensuring that risks to information and technology are properly considered for the enterprise risk portfolio. This cohesive understanding supports an enterprise risk register (ERR) and enterprise risk profile (ERP) that, in turn, support the achievement of enterprise objectives. | 本書は、NIST 機関間/内部 報告書(NISTIR)8286「サイバーセキュリティとエンタープライズリスクマネジメント(ERM)の統合」を補足するシリーズの第3弾である。これまでの NISTIR8286A および 8286B では、ステークホルダリスクの方向性や、エンタープライズ目標に照らしたサイバーセキュリティリスクのアセスメントとマネジメントの方法について詳述していた。NISTIR 8286C では、サイバーセキュリティリスク・レジストリ(CSRR)に記録された情報が、エンタープライズリスク・ポートフォリオにおいて情報と技術に対するリスクを適切に考慮するための全体的なアプローチの一部として、どのように統合されるかを説明している。この統合的な理解は、エンタープライズリスクレジストリ(ERR)とエンタープライズリスク・プロファイル(ERP)を支援し、ひいてはエンタープライズ目標の達成を支援する。 |
・[PDF] NIST.IR.8286C-upd1
・[DOCX] 仮訳
目次...
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction | 1. 序文 |
| 1.1. Purpose and Scope | 1.1. 目的と範囲 |
| 1.2. Document Structure | 1.2. 文書の構造 |
| 2. Aggregation and Normalization of Cybersecurity Risk Registers | 2. サイバーセキュリティリスク登録の集約と正規化 |
| 2.1. Aggregation of Cybersecurity Risk Information | 2.1. サイバーセキュリティリスク情報の集約 |
| 2.2. Normalization of CSRR Information | 2.2. CSRR情報の正規化 |
| 2.3. Integrating CSRR Details | 2.3. CSRRの詳細を統合する |
| 3. Integration of Cybersecurity Risk into the ERR/ERP | 3. サイバーセキュリティ・リスクを ERR/ERP に統合する。 |
| 3.1. Operational and Enterprise Impact of Cybersecurity | 3.1. サイバーセキュリティの運用とエンタープライズへの影響 |
| 3.2. Dependencies Among Enterprise Functions and Technology Systems | 3.2. エンタープライズ機能とテクノロジーシステム間の依存関係 |
| 3.3. Enterprise Value of the ERP | 3.3. ERPのエンタープライズ価値 |
| 3.4. Typical Enterprise Objectives, Functions, and Prioritization | 3.4. 典型的なエンタープライズの目的、機能、優先順位付け |
| 4. Risk Governance as the Basis for Cybersecurity Risk Management | 4. サイバーセキュリティ・リスクマネジメントの基礎としてのリスクガバナンス |
| 4.1. Frameworks in Support of Risk Governance and Risk Management | 4.1. リスクガバナンスとリスクマネジメントを支えるフレームワーク |
| 4.2. Adjustments to Risk Direction | 4.2. リスクの方向性の調整 |
| 5. Cybersecurity Risk Monitoring, Evaluation, and Adjustment | 5. サイバーセキュリティリスクの監視、評価、調整 |
| 5.1. Key CSRM Mechanisms | 5.1. 主なCSRMメカニズム |
| 5.2. Monitoring Risks | 5.2. リスクのモニタリング |
| 5.3. Evaluating Risks | 5.3. リスクを評価する |
| 5.4. Adjusting Risk Responses | 5.4. リスク反応を調整する |
| 5.5. Monitor, Evaluate, Adjust Examples | 5.5. 監視、評価、調整 例 |
| References | 参考文献 |
| Appendix A. Change Log | 附属書A. 変更履歴 |
参考...
● Committee of Sponsoring Organizations; COSO
・Enterprise Risk Management; ERM
・[PDF] Exsecutive Summary
● まるちゃんの情報セキュリティ気まぐれ日記
SP800-221関係
IR 8286関係
・2022.11.22 NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用
・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)
・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)
・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)
・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)
・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)
Comments