NIST リスクマネジメントフレームワーク
NIST リスクマネジメントフレームワーク とは何ですか?
NIST リスクマネジメントフレームワークセキュリティ、プライバシー、サプライチェーンのリスクマネジメントをシステムライフサイクルに組み込むため、NIST SP 800-37 で定義された 7 ステップのプロセス。
NIST リスクマネジメントフレームワーク(RMF)は NIST SP 800-37 Revision 2 に定義されており、米国連邦情報システムおよびその請負者を主な対象としつつ、他の業界でも広く採用されています。Prepare(準備)、Categorize(FIPS 199 と SP 800-60 によるカテゴリ化)、Select(SP 800-53 から統制を選定)、Implement(実装)、Assess(SP 800-53A による評価)、Authorize(ATO の付与)、Monitor(継続的監視)の 7 ステップで構成されます。RMF は、システムライフサイクル全体にわたりセキュリティ、プライバシー、サイバーサプライチェーンのリスクマネジメントを統合し、FISMA、FedRAMP、CMMC など各プログラムの運用基盤となります。NIST Cybersecurity Framework のリスクベース統制を実装するエンジンとしても機能します。
● 例
- 01
連邦機関が RMF の Authorize ステップを完了し、新しいクラウドワークロードに ATO を付与する。
- 02
請負業者が Monitor ステップで POA&M 項目と継続的監視メトリクスを追跡し、FedRAMP システムを維持する。
● よくある質問
NIST リスクマネジメントフレームワーク とは何ですか?
セキュリティ、プライバシー、サプライチェーンのリスクマネジメントをシステムライフサイクルに組み込むため、NIST SP 800-37 で定義された 7 ステップのプロセス。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
NIST リスクマネジメントフレームワーク とはどういう意味ですか?
セキュリティ、プライバシー、サプライチェーンのリスクマネジメントをシステムライフサイクルに組み込むため、NIST SP 800-37 で定義された 7 ステップのプロセス。
NIST リスクマネジメントフレームワーク からどのように防御しますか?
NIST リスクマネジメントフレームワーク に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
NIST リスクマネジメントフレームワーク の別名は何ですか?
一般的な別名: RMF, NIST SP 800-37。