米国 連邦金融機関審査委員会(FFIEC) 「開発、取得、保守」小冊子(検査員も使うよ)の改訂 (2024.08.29)
こんにちは、丸山満彦です。
米国連邦金融機関審査委員会(FFIEC) が、「開発および取得」を改訂し、「開発、取得、保守」に名称も変更していますね..
内容は、システム開発、運用等をしている人にはわかりやすい構成です。
マニュアルではなく"booklet"です..."examiner"も使います...
変更点については、以下を参考に...基本的には、エンタープライズ全体に適用することを前提、プロセスベース、原則ベースのアプローチ、を強調しつつ、現在の技術動向に合わせて改訂したということろでしょうか...あっ、NIST等との用語の統一も...
日本では、検査マニュアルが廃止(2019.12.18)されてほぼ6年になりますかね...
● Federal Financial Institutions Examination Council; FFEIC
Development and Acquisition Booklet Revision and Name Change to Development, Acquisition, and Maintenance Booklet | 「開発および取得」小冊子の改訂と名称変更 「開発、取得、保守」小冊子 |
The FFIEC members revised and renamed the Development and Acquisition booklet to Development, Acquisition, and Maintenance (DA&M) to incorporate updated information technology (IT) risk practices and frameworks. In keeping with our approach for booklet revisions and as seen in the Business Continuity Management and Architecture, Infrastructures, & Operations booklets, we drafted the booklet following a principles-based approach to IT risk management. This will allow the booklet’s central tenets to remain relevant to examiners even as innovation and technological changes occur in the financial services sector. Changes in this new booklet include the following: | FFIECのメンバーは、最新のITリスクの慣行および枠組みを盛り込むため、「開発および取得」小冊子を「開発、取得、保守(DA&M)」小冊子に改訂し、名称を変更した。小冊子の改訂に関するアプローチに従い、「事業継続管理」および「アーキテクチャ、インフラ、業務」小冊子に見られるように、ITリスクマネジメントに関するプリンシプル・ベースのアプローチに従って小冊子のドラフトを作成した。これにより、金融サービス業界で技術革新や技術変化が起こっても、本冊子の基本原則は常に検査員にとって関連性のあるものとなる。本冊子の変更点は以下の通りである。 |
・The change in the booklet’s title reflects an increased focus on principles-based, enterprise-wide, process-oriented approaches that consider the development of technology components within the overall business structure (development), acquisition and procurement of IT infrastructure hardware and software components (acquisition), and maintenance and change control processes for services to provide ongoing security and value for internal and external customers (maintenance). | ・この冊子のタイトル変更は、ビジネス構造全体におけるテクノロジーコンポーネントの開発(開発)、ITインフラのハードウェアおよびソフトウェアコンポーネントの取得および調達(取得)、ならびに内外の顧客に継続的なセキュリティと価値を提供するためのサービスの保守および変更管理プロセス(保守)を考慮した、エンタープライズ全体にわたる原則ベースのプロセス指向のアプローチに重点が置かれるようになったことを反映している。 |
・Significant changes include the additions of new sections in the narrative related to development, acquisition, and maintenance, including an overview of the subject, governance; risk management; common risk elements applicable to hardware and software component technologies, as well as a section for the discussions related to Maintenance of systems and components. | ・重要な変更点としては、開発、取得、保守に関する説明に新たなセクションを追加し、対象の概要、ガバナンス、リスクマネジメント、ハードウェアおよびソフトウェアコンポーネント技術に共通するリスク要素、システムおよびコンポーネントの保守に関する議論のセクションなどを含めた。 |
・In the Common Risk Topics section, we included risk management discussions for risks that affect each of the entity’s DA&M functions. This section includes hardware and software types; licenses, agreements, and copyright protection; secure development, data, and secure operating environments; microservices, containers, and APIs; methodologies for project management and development; quality management and documentation standards; IT project management and post-implementation review; system development life cycle; and third-party relationship risk management and supply chain considerations. | ・共通リスクトピックのセクションでは、事業体のDA&M機能それぞれに影響を与えるリスクに対するリスクマネジメントの議論を含めた。このセクションには、ハードウェアおよびソフトウェアの種類、ライセンス、契約、著作権保護、セキュアな開発、データ、セキュアな運用環境、マイクロサービス、コンテナ、API、プロジェクト管理および開発の方法論、品質管理および文書化標準、ITプロジェクト管理および実装後のレビュー、システム開発ライフサイクル、サードパーティ関係リスク管理およびサプライチェーンの考慮事項などが含まれる。 |
・In the Development section, we added discussions relating to strategic planning of the IT development to integrate with the business functions of the enterprise and provide for service delivery to customers. This includes development standards and controls, testing, DevOps and DevSecOps, and functional development types. | ・開発セクションでは、企業のビジネス機能と統合し、顧客へのサービス提供を可能にするためのIT開発の戦略的計画に関する議論を追加した。これには、開発標準と管理、テスト、DevOpsとDevSecOps、機能開発の種類が含まれる。 |
・In the Acquisition section, we included sections on acquisition policies, standards, and procedures; acquisition projects; solicitation; evaluation; and contracts and other agreements. | ・取得セクションでは、取得方針、標準、手順、取得プロジェクト、募集、評価、契約およびその他の合意に関するセクションを追加した。 |
・We updated the Maintenance section to address key operational principles in IT environments. We included discussions of preventive maintenance, change management (including implementing changes, control considerations, change types, and change management documentation), end-of-life, termination and disposal, and maintenance documentation. | ・保守のセクションを更新し、IT環境における主要な運用原則を取り上げた。予防保守、変更管理(変更の実施、管理上の考慮事項、変更の種類、変更管理文書を含む)、製品寿命終了、終了および廃棄、保守文書に関する議論を含めた。 |
・Throughout the booklet, we made improvements in consistency and use of authoritative standards for the revision of booklets by: | ・小冊子全体を通して、以下の方法で一貫性と権威ある標準の使用を改善した。 |
・・Identifying clearer references back to NIST and other authoritative sources. | ・・NIST およびその他の権威ある情報源への参照をより明確に識別した。 |
・・Replacing “financial institutions” with the term “entities” as the principles in the narrative also apply to third-party service providers and significant service providers that we examine. | ・・本文の原則がサードパーティのサービスプロバイダや、当社が調査する重要なサービスプロバイダにも適用されるため、「金融機関」という用語を「事業体」という用語に置き換えた。 |
・・Aligning definitions and terminology with authoritative sources and standards organizations (e.g., NIST), where appropriate. | ・・定義および用語を、権威ある情報源および標準化団体(NIST など)と整合させた。 |
・・Including joint or interagency guidance applicable to DA&M with accompanying respective agency announcements for consistency. | ・・DA&M に適用される合同または省庁間による指針を、整合性を保つためにそれぞれの省庁の発表と併せて記載した。 |
・[HTML][PDF] Development, Acquisition, and Maintenance
目次...
その他のBoolket
↓
アーキテクチャ、インフラストラクチャ、業務
Architecture, Infrastructure, and Operations
・2021.06.30 Revision of the Operations Booklet and Name Change to Architecture, Infrastructure, and Operations Booklet
・[HTML][PDF] Architecture, Infrastructure, and Operations
事業継続マネジメント
Business Continuity Management
・2019.11.14 Business Continuity Management
・[HTML][PDF] Business Continuity Management
情報セキュリティ
・2016.09.09 Revised the Information Security Booklet
・[HTNL][PDF] Information Security
« 米国 国土安全保障省 重要インフラの所有者および運営者向けAIの安全およびセキュリティガイドライン (2024.04.26) | Main | 英国 サイバーセキュリティ侵害調査 2025 開始の案内... 2025年 (2024.09.03) +最新報告書等 »
Comments