コンプライアンスとフレームワーク の用語
30 terms
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
NIST サイバーセキュリティフレームワーク
米国 NIST が公開した任意のリスクベース フレームワークで、サイバーセキュリティの成果を 6 つのコア機能に整理する。
NIST SP 800-53
米国 NIST が発行する、連邦情報システムおよび多くの民間採用者向けの包括的なセキュリティ・プライバシー統制カタログ。
NIST SP 800-171
非連邦組織が保存・処理する管理対象非機密情報(CUI)の保護要件を定める NIST 発行の文書。
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。
ISO/IEC 27002
ISO/IEC 27001 附属書 A の情報セキュリティ管理策に対する詳細な実装ガイダンスを提供する国際的なベストプラクティス集。
CIS Controls
Center for Internet Security が維持する、最も一般的なサイバー攻撃から組織を守るための優先順位付きベストプラクティス管理策セット。
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
MITRE D3FEND
防御的サイバーセキュリティ対策と、それが扱うデジタル成果物を体系化した MITRE のナレッジ グラフで、MITRE ATT&CK を補完する。
PCI DSS
決済カード データを保管・処理・伝送する組織を対象に、PCI セキュリティ標準協議会が維持するグローバルな情報セキュリティ基準。
GDPR
EU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。
CCPA
カリフォルニア州の消費者プライバシー法で、カリフォルニア州住民が事業者の保有する個人情報に対して有する権利を定める米国の州法。
HIPAA
個人を特定可能な医療情報の保護に関する国家基準を定めた米国の医療保険の相互運用性と説明責任に関する法律。
サーベンス・オクスリー法(SOX)
投資家保護を目的に、上場企業へガバナンス・内部統制・報告に関する要件を課す、2002 年の米国連邦法。
グラム・リーチ・ブライリー法 (GLBA)
米国の連邦法であり、金融機関に対し顧客の非公開個人情報の安全性と機密性の保護を義務付ける。
FERPA
FERPA — definition coming soon.
FISMA
FISMA — definition coming soon.
FedRAMP
FedRAMP — definition coming soon.
CMMC
CMMC — definition coming soon.
SOC 2
SOC 2 — definition coming soon.
COBIT
COBIT — definition coming soon.
ITIL
ITIL — definition coming soon.
OWASP Top 10
OWASP Top 10 — definition coming soon.
SANS Top 25
SANS Top 25 — definition coming soon.
CVE Numbering Authority (CNA)
CVE Numbering Authority (CNA) — definition coming soon.
Trike
Trike — definition coming soon.
DREAD Model
DREAD Model — definition coming soon.
STRIDE Model
STRIDE Model — definition coming soon.
NIST Risk Management Framework
NIST Risk Management Framework — definition coming soon.
Data Protection Impact Assessment
Data Protection Impact Assessment — definition coming soon.