FISMA
FISMA とは何ですか?
FISMA連邦機関およびその受託者に対し、政府データを扱うシステムについてリスクベースの情報セキュリティプログラムの整備を義務付ける米国連邦法。
Federal Information Security Modernization Act(FISMA)は 2002 年に成立し、2014 年に改正された連邦法で、各連邦機関に対し、機関全体に及ぶ情報セキュリティプログラムの策定・文書化・実装を義務付けています。NIST が標準(システム分類の FIPS 199、最低統制要件の FIPS 200)とガイドライン(SP 800-53 統制カタログ、SP 800-37 リスクマネジメントフレームワーク)を策定します。各機関はシステムを棚卸しし、リスク評価を行い、運用認可(ATO)を付与し、統制を継続的に監視したうえで、OMB と議会に年次報告を行います。FISMA は連邦システムを運用する受託者やクラウド事業者にも及びます。監督は OMB と CISA が担い、GAO が有効性を監査します。
● 例
- 01
ある連邦機関が、NIST SP 800-53 に基づく統制評価を経て新しい人事システムに ATO を付与する。
- 02
連邦受託者が継続的監視を行い、POA&M を提出して FISMA への準拠を維持する。
● よくある質問
FISMA とは何ですか?
連邦機関およびその受託者に対し、政府データを扱うシステムについてリスクベースの情報セキュリティプログラムの整備を義務付ける米国連邦法。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
FISMA とはどういう意味ですか?
連邦機関およびその受託者に対し、政府データを扱うシステムについてリスクベースの情報セキュリティプログラムの整備を義務付ける米国連邦法。
FISMA からどのように防御しますか?
FISMA に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
FISMA の別名は何ですか?
一般的な別名: 連邦情報セキュリティ近代化法。