サイト内検索

My Photo
March 2025
Sun Mon Tue Wed Thu Fri Sat
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

Recent Posts

Recent Trackbacks

連載 (ITmedia)

ウェブページ

« 英国 経済安全保障に関する副首相スピーチ (小さな庭、高いフェンス) | Main | 米国 MITERの研究開発ネットワークが外国のサイバー攻撃者に侵入されていたようですね(私たちだって侵入を許してしまうくらいですから、みなさんも...) »

2024.04.20

英国 サイバー・アセスメント・フレームワーク V3.2

こんにちは、丸山満彦です。

 2018年に制定された英国のサイバー・アセスメント・フレームワークが改訂されてVersion 3.2になっていますね...

日本では情報セキュリティというと、かつては金融機関等を中心に業務継続の観点から言われていました(ディザスター・リカバリー)。そして、J-SOXで完全性について少し言われるようになりました。しかし、個人情報保護法が施行されると、一気に個人情報漏えい(機密性)についいての問題意識が高まってしまいましたね。。。最近は安全保障の問題がクローズアップされてきて、業務のレジリエンス(可用性)についても言われるようになってきましたね。。。(元に戻った?)

英国のサイバー・アセスメント・フレームワーク (CAF) は、レジリエンスに中心が置かれているように思えます...

そして、達成すべきことともそうですが、それを達成したかどうかの評価をどうするのか?というところに力点が置かれているように思います...

アセスメントという点で特に参考になると思います。

サイバーセキュリティのように環境が変わるような分野では、ルールベースアプローチではなく原則ベースアプローチを採用するほう実効性があがりますよね...

 

● Gov UK

Cyber Assessment Framework

 

・2024.04.18 [PDF]  Cyber Assessment Framework V3.2

20240420-93258

 

目次...

Cyber Assessment Framework サイバー評価フレームワーク
Introduction to the CAF Collection CAFコレクションの序文
Introduction to the Cyber Assessment Framework サイバー評価フレームワーク序文
CAF Objective A - Managing Security Risk CAF 目的 A - セキュリティリスクのマネジメント
Principle A1 Governance 原則 A1 ガバナンス
Principle A2 Risk Management 原則 A2 リスクマネジメント
Principle A3 Asset Management 原則 A3 資産管理
Principle A4 Supply Chain 原則 A4 サプライチェーン
CAF Objective B - Protecting against cyber attacks CAF 目的 B -サイバー攻撃からの防御
Principle B1 Service protection policies, processes and procedures 原則 B1 サービス保護方針、プロセス及び手順
Principle B2 Identity and Access Control 原則 B2 ID 及びアクセス管理
Principle B3 Data security 原則 B3 データセキュリティ
Principle B4 System security 原則 B4 システムセキュリティ
Principle B5 Resilient networks and systems 原則 B5 レジリエンスの高いネットワーク及びシステム
Principle B6 Staff awareness and training 原則 B6 スタッフの意識向上およびトレーニング
CAF Objective C - Detecting cyber security events CAF 目的 C -サイバーセキュリティ事象の検知
Principle C1 Security monitoring 原則 C1 セキュリティ監視
Principle C2 Proactive security event discovery 原則 C2 事前にセキュリティイベントを発見する
CAF Objective D - Minimising the impact of cyber security incidents CAF 目的 D -サイバーセキュリティインシデントの影響を最小化する
Principle D1 Response and recovery planning 原則 D1 対応及び復旧計画
Principle D2 Lessons Learned 原則 D2 教訓
Supplementary information 補足情報
Consolidated view of CAF Guidance CAF ガイダンスの統合ビュー
CAF Terms and Definitions CAFの用語と定義
Cyber Assessment Framework (CAF) changelog サイバーアセスメントフレームワーク(CAF)の変更履歴

 

 

 

 

2024.04.20 10:17 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 |

« 英国 経済安全保障に関する副首相スピーチ (小さな庭、高いフェンス) | Main | 米国 MITERの研究開発ネットワークが外国のサイバー攻撃者に侵入されていたようですね(私たちだって侵入を許してしまうくらいですから、みなさんも...) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 英国 経済安全保障に関する副首相スピーチ (小さな庭、高いフェンス) | Main | 米国 MITERの研究開発ネットワークが外国のサイバー攻撃者に侵入されていたようですね(私たちだって侵入を許してしまうくらいですから、みなさんも...) »