« 米国 国土安全保障省 重要インフラの所有者および運営者向けAIの安全およびセキュリティガイドライン (2024.04.26) | Main | 英国 サイバーセキュリティ侵害調査 2025 開始の案内... 2025年 (2024.09.03) +最新報告書等 »

2024.09.04

米国 連邦金融機関審査委員会(FFIEC) 「開発、取得、保守」小冊子(検査員も使うよ)の改訂 (2024.08.29)

こんにちは、丸山満彦です。

米国連邦金融機関審査委員会(FFIEC) が、「開発および取得」を改訂し、「開発、取得、保守」に名称も変更していますね..

内容は、システム開発、運用等をしている人にはわかりやすい構成です。

マニュアルではなく"booklet"です..."examiner"も使います...

変更点については、以下を参考に...基本的には、エンタープライズ全体に適用することを前提、プロセスベース、原則ベースのアプローチ、を強調しつつ、現在の技術動向に合わせて改訂したということろでしょうか...あっ、NIST等との用語の統一も...

日本では、検査マニュアルが廃止(2019.12.18)されてほぼ6年になりますかね...

 

Federal Financial Institutions Examination Council; FFEIC

What's New

・2024.08.29 Development and Acquisition Booklet Revision and Name Change to Development, Acquisition, and Maintenance Booklet

Development and Acquisition Booklet Revision and Name Change to Development, Acquisition, and Maintenance Booklet 「開発および取得」小冊子の改訂と名称変更 「開発、取得、保守」小冊子
The FFIEC members revised and renamed the Development and Acquisition booklet to Development, Acquisition, and Maintenance (DA&M) to incorporate updated information technology (IT) risk practices and frameworks. In keeping with our approach for booklet revisions and as seen in the Business Continuity Management and Architecture, Infrastructures, & Operations booklets, we drafted the booklet following a principles-based approach to IT risk management. This will allow the booklet’s central tenets to remain relevant to examiners even as innovation and technological changes occur in the financial services sector. Changes in this new booklet include the following: FFIECのメンバーは、最新のITリスクの慣行および枠組みを盛り込むため、「開発および取得」小冊子を「開発、取得、保守(DA&M)」小冊子に改訂し、名称を変更した。小冊子の改訂に関するアプローチに従い、「事業継続管理」および「アーキテクチャ、インフラ、業務」小冊子に見られるように、ITリスクマネジメントに関するプリンシプル・ベースのアプローチに従って小冊子のドラフトを作成した。これにより、金融サービス業界で技術革新や技術変化が起こっても、本冊子の基本原則は常に検査員にとって関連性のあるものとなる。本冊子の変更点は以下の通りである。
・The change in the booklet’s title reflects an increased focus on principles-based, enterprise-wide, process-oriented approaches that consider the development of technology components within the overall business structure (development), acquisition and procurement of IT infrastructure hardware and software components (acquisition), and maintenance and change control processes for services to provide ongoing security and value for internal and external customers (maintenance). ・この冊子のタイトル変更は、ビジネス構造全体におけるテクノロジーコンポーネントの開発(開発)、ITインフラのハードウェアおよびソフトウェアコンポーネントの取得および調達(取得)、ならびに内外の顧客に継続的なセキュリティと価値を提供するためのサービスの保守および変更管理プロセス(保守)を考慮した、エンタープライズ全体にわたる原則ベースのプロセス指向のアプローチに重点が置かれるようになったことを反映している。
・Significant changes include the additions of new sections in the narrative related to development, acquisition, and maintenance, including an overview of the subject, governance; risk management; common risk elements applicable to hardware and software component technologies, as well as a section for the discussions related to Maintenance of systems and components. ・重要な変更点としては、開発、取得、保守に関する説明に新たなセクションを追加し、対象の概要、ガバナンス、リスクマネジメント、ハードウェアおよびソフトウェアコンポーネント技術に共通するリスク要素、システムおよびコンポーネントの保守に関する議論のセクションなどを含めた。
・In the Common Risk Topics section, we included risk management discussions for risks that affect each of the entity’s DA&M functions. This section includes hardware and software types; licenses, agreements, and copyright protection; secure development, data, and secure operating environments; microservices, containers, and APIs; methodologies for project management and development; quality management and documentation standards; IT project management and post-implementation review; system development life cycle; and third-party relationship risk management and supply chain considerations. ・共通リスクトピックのセクションでは、事業体のDA&M機能それぞれに影響を与えるリスクに対するリスクマネジメントの議論を含めた。このセクションには、ハードウェアおよびソフトウェアの種類、ライセンス、契約、著作権保護、セキュアな開発、データ、セキュアな運用環境、マイクロサービス、コンテナ、API、プロジェクト管理および開発の方法論、品質管理および文書化標準、ITプロジェクト管理および実装後のレビュー、システム開発ライフサイクル、サードパーティ関係リスク管理およびサプライチェーンの考慮事項などが含まれる。
・In the Development section, we added discussions relating to strategic planning of the IT development to integrate with the business functions of the enterprise and provide for service delivery to customers. This includes development standards and controls, testing, DevOps and DevSecOps, and functional development types. ・開発セクションでは、企業のビジネス機能と統合し、顧客へのサービス提供を可能にするためのIT開発の戦略的計画に関する議論を追加した。これには、開発標準と管理、テスト、DevOpsとDevSecOps、機能開発の種類が含まれる。
・In the Acquisition section, we included sections on acquisition policies, standards, and procedures; acquisition projects; solicitation; evaluation; and contracts and other agreements. ・取得セクションでは、取得方針、標準、手順、取得プロジェクト、募集、評価、契約およびその他の合意に関するセクションを追加した。
・We updated the Maintenance section to address key operational principles in IT environments. We included discussions of preventive maintenance, change management (including implementing changes, control considerations, change types, and change management documentation), end-of-life, termination and disposal, and maintenance documentation. ・保守のセクションを更新し、IT環境における主要な運用原則を取り上げた。予防保守、変更管理(変更の実施、管理上の考慮事項、変更の種類、変更管理文書を含む)、製品寿命終了、終了および廃棄、保守文書に関する議論を含めた。
・Throughout the booklet, we made improvements in consistency and use of authoritative standards for the revision of booklets by: ・小冊子全体を通して、以下の方法で一貫性と権威ある標準の使用を改善した。
・・Identifying clearer references back to NIST and other authoritative sources. ・・NIST およびその他の権威ある情報源への参照をより明確に識別した。
・・Replacing “financial institutions” with the term “entities” as the principles in the narrative also apply to third-party service providers and significant service providers that we examine. ・・本文の原則がサードパーティのサービスプロバイダや、当社が調査する重要なサービスプロバイダにも適用されるため、「金融機関」という用語を「事業体」という用語に置き換えた。
・・Aligning definitions and terminology with authoritative sources and standards organizations (e.g., NIST), where appropriate. ・・定義および用語を、権威ある情報源および標準化団体(NIST など)と整合させた。
・・Including joint or interagency guidance applicable to DA&M with accompanying respective agency announcements for consistency. ・・DA&M に適用される合同または省庁間による指針を、整合性を保つためにそれぞれの省庁の発表と併せて記載した。

 

・[HTML][PDF] Development, Acquisition, and Maintenance

20240904-34703

 

目次...

Introduction 序文
I Overview of Development, Acquisition, and Maintenance I 開発、取得、保守の概要
II Governance of Development, Acquisition, and Maintenance II 開発、取得、保守のガバナンス
II.A Policies, Standards, and Procedures II.A 方針、標準、手順
II.B Roles and Responsibilities II.B 役割と責任
II.B.1 Board, Senior Management, and Other Common Roles II.B.1 取締役会、上級管理職、その他の共通の役割
II.B.2 IT Project Management Roles II.B.2 ITプロジェクト管理の役割
II.B.3 Development Roles II.B.3 開発の役割
II.B.4 Acquisition Roles II.B.4 取得の役割
II.B.5 Maintenance Roles II.B.5 保守の役割
II.B.6 Other Common Development, Acquisition, and Maintenance Roles II.B.6 その他の一般的な開発、取得、保守の役割
II.B.7 Supply Chain Roles II.B.7 サプライチェーンの役割
II.B.8 Other Support Functions II.B.8 その他のサポート機能
II.B.9 Audit's Role II.B.9 監査の役割
III Risk Management of Development, Acquisition, and Maintenance III 開発、取得、保守のリスクマネジメント
III.A Risk Identification III.A リスクの識別
III.B Risk Measurement III.B リスクの測定
III.C Risk Monitoring and Reporting III.C リスクの監視と報告
III.D Controlling or Mitigating Risk III.D リスクの抑制または低減
IV Common Development, Acquisition, and Maintenance Risk Topics IV 開発、取得、保守に共通するリスクトピック
IV.A Open-Source IV.A オープンソース
IV.B Commercial-off-the-Shelf IV.B 商用汎用品
IV.C Licenses, Agreements, and Copyright Protection IV.C ライセンス、契約、および著作権保護
IV.C.1 Software Licenses IV.C.1 ソフトウェアライセンス
IV.C.1(a) Free and Open-Source Software Licenses IV.C.1(a) フリーおよびオープンソースソフトウェアライセンス
IV.C.1(b) Proprietary Software Licenses IV.C.1(b) プロプライエタリソフトウェアライセンス
IV.C.2 Hardware Licenses IV.C.2 ハードウェアライセンス
IV.C.3 Copyright Protection IV.C.3 著作権保護
IV.D Secure Development IV.D 安全な開発
IV.E Data IV.E データ
IV.F Secure Operating Environments IV.F 安全な運用環境
IV.G Microservices IV.G マイクロサービス
IV.H Containers IV.H コンテナ
IV.I Application Programming Interfaces IV.I アプリケーション・プログラミング・インターフェース
IV.I.1 API Gateway IV.I.1 API ゲートウェイ
IV.I.2 API Risk Mitigation IV.I.2 API リスク低減
IV.J Methodologies IV.J 方法論
IV.J.1 Waterfall IV.J.1 ウォーターフォール
IV.J.2 Agile IV.J.2 アジャイル
IV.K Quality Management IV.K 品質管理
IV.L Documentation Standards IV.L 文書化標準
IV.M Post-Implementation Review IV.M 実装後のレビュー
IV.N IT Project Management IV.N IT プロジェクト管理
IV.N.1 IT Project Phases IV.N.1 IT プロジェクトのフェーズ
IV.N.1(a) Initiation IV.N.1(a) 開始
IV.N.1(b) Planning IV.N.1(b) 計画
IV.N.1(c) Execution IV.N.1(c) 実行
IV.N.1(d) Closeout IV.N.1(d) 終了
IV.N.2 Monitoring and Controlling IV.N.2 モニタリングと管理
IV.N.3 IT Project Documentation IV.N.3 IT プロジェクトの文書化
IV.N.3(a) IT Project Request IV.N.3(a) IT プロジェクトの要求
IV.N.3(b) Business Case IV.N.3(b) ビジネスケース
IV.N.3(c) Feasibility Study IV.N.3(c) 実現可能性調査
IV.N.3(d) IT Project Plans IV.N.3(d) ITプロジェクト計画
IV.N.3(e) Closeout Documentation IV.N.3(e) 終了時文書
IV.O System Development Life Cycle IV.O システム開発ライフサイクル
IV.O.1 SDLC Phases IV.O.1 SDLCフェーズ
IV.O.1(a) Initiation IV.O.1(a) 開始
IV.O.1(b) Development or Acquisition IV.O.1(b) 開発または取得
IV.O.1(c) Implementation and Assessment IV.O.1(c) 実装およびアセスメント
IV.O.1(d) Operations and Maintenance IV.O.1(d) 運用および保守
IV.O.1(e) Sunset and Disposal IV.O.1(e) 終了および廃棄
IV.P Third-Party Relationship Risk Management IV.P サードパーティ関係リスク管理
IV.P.1 Planning IV.P.1 計画
IV.P.2 Due Diligence and Third-Party Selection IV.P.2 デューデリジェンスおよびサードパーティの選定
IV.P.3 Contract Negotiation IV.P.3 契約交渉
IV.Q Supply Chain Considerations IV.Q サプライチェーンの考慮事項
IV.Q.1 Supply Chain Risk Management IV.Q.1 サプライチェーンリスクマネジメント
IV.Q.2 Software Bill of Material IV.Q.2 ソフトウェア部品表
IV.Q.3 Enterprise Risk Management and Supply Chain Risks IV.Q.3 エンタープライズリスクマネジメントとサプライチェーンリスク
V Development V 開発
V.A Development Standards and Controls V.A 開発標準と制御
V.B Testing V.B テスト
V.C DevOps and DevSecOps V.C DevOpsとDevSecOps
V.C.1 DevOps V.C.1 DevOps
V.C.2 DevSecOps V.C.2 DevSecOps
V.D Functional Development Types V.D 機能開発の種類
V.D.1 Model Development V.D.1 モデル開発
V.D.2 Database Development V.D.2 データベース開発
VI Acquisition VI 調達
VI.A Acquisition Policies, Standards, and Procedures VI.A 調達方針、標準、手順
VI.B Acquisition Projects VI.B 調達プロジェクト
VI.C Solicitation VI.C 募集
VI.D Evaluation VI.D 評価
VI.E Contracts and Other Agreements VI.E 契約およびその他の合意
VI.E.1 Statement of Work VI.E.1 作業内容記述書
VI.E.2 Master Services Agreement VI.E.2 マスターサービス契約
VI.E.3 Service Level Agreement VI.E.3 サービスレベル契約
VI.E.4 Contracts VI.E.4 契約
VI.E.5 Escrowed Source Code Agreements and Documentation VI.E.5 エスクローソースコード契約および文書化
VI.E.6 Exit Strategy VI.E.6 出口戦略
VII Maintenance VII 保守
VII.A Preventive Maintenance VII.A 予防保守
VII.B Change Management VII.B 変更管理
VII.B.1 Implementing Changes VII.B.1 変更の実施
VII.B.2 Additional Control Considerations in Change Management VII.B.2 変更管理における追加の管理上の考慮事項
VII.B.2(a) Data Controls in the Testing Environment VII.B.2(a) テスト環境におけるデータ制御
VII.B.2(b) Library Controls VII.B.2(b) ライブラリ制御
VII.B.2(c) Code Repository Controls VII.B.2(c) コードリポジトリ制御
VII.B.3 Change Types VII.B.3 変更の種類
VII.B.3(a) Routine Modifications VII.B.3(a) 日常的な修正
VII.B.3(b) Major Modifications VII.B.3(b) 大規模な修正
VII.B.3(c) Emergency Modifications VII.B.3(c) 緊急の修正
VII.B.4 Change Management Documentation VII.B.4 変更管理文書
VII.B.4(a) Change Request Form VII.B.4(a) 変更依頼書
VII.B.4(b) Impact Analysis VII.B.4(b) 影響分析
VII.B.4(c) Rollback or Back-Out Plan VII.B.4(c) ロールバックまたはバックアウト計画
VII.C End-of-Life VII.C 製品寿命終了
VII.D Termination and Disposal VII.D 終了および廃棄
VII.E Maintenance Documentation VII.E 保守文書
Appendix A: Examination Procedures 附属書 A:審査手順
Appendix B: Glossary 附属書 B:用語集
Appendix C: Abbreviations 附属書 C:略語
Appendix D: References 附属書 D:参考文献

 

その他のBoolket


アーキテクチャ、インフラストラクチャ、業務

Architecture, Infrastructure, and Operations

・2021.06.30 Revision of the Operations Booklet and Name Change to Architecture, Infrastructure, and Operations Booklet

・[HTML][PDF] Architecture, Infrastructure, and Operations

20240904-41353

 


事業継続マネジメント

Business Continuity Management

・2019.11.14 Business Continuity Management

・[HTML][PDF] Business Continuity Management

20240904-41752

 

 


情報セキュリティ

 Information Security

・2016.09.09 Revised the Information Security Booklet

・[HTNL][PDF] Information Security

20240904-42216

 

 

|

« 米国 国土安全保障省 重要インフラの所有者および運営者向けAIの安全およびセキュリティガイドライン (2024.04.26) | Main | 英国 サイバーセキュリティ侵害調査 2025 開始の案内... 2025年 (2024.09.03) +最新報告書等 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 国土安全保障省 重要インフラの所有者および運営者向けAIの安全およびセキュリティガイドライン (2024.04.26) | Main | 英国 サイバーセキュリティ侵害調査 2025 開始の案内... 2025年 (2024.09.03) +最新報告書等 »