NIST SP 800-30
NIST SP 800-30 とは何ですか?
NIST SP 800-30情報システムおよびそれが支援する業務に対するリスク評価の実施方法を示す NIST の特別出版物。
NIST SP 800-30 Revision 1「リスク評価実施のためのガイド」は米国 NIST が発行し、NIST リスクマネジメントフレームワークの一部を構成します。リスク評価のプロセスを 4 ステップに整理しています: 評価の準備、評価の実施、結果の伝達、評価の維持。脅威源と脅威事象、脆弱性、発生可能性、影響をどのように特定し、定性的または半定量的なリスクレーティングに統合するかが解説されています。組織・ミッション・情報システムの 3 層にわたる階層的評価の参考とされ、米国連邦機関、契約業者、多くの民間組織で SP 800-37 や SP 800-39 と併用されています。
● 例
- 01
連邦契約業者が SP 800-30 のテーブルを使って ATO パッケージの脅威可能性と影響を評価する。
- 02
銀行が SP 800-30 のテンプレートを応用して SaaS サードパーティのリスクを契約前に評価する。
● よくある質問
NIST SP 800-30 とは何ですか?
情報システムおよびそれが支援する業務に対するリスク評価の実施方法を示す NIST の特別出版物。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
NIST SP 800-30 とはどういう意味ですか?
情報システムおよびそれが支援する業務に対するリスク評価の実施方法を示す NIST の特別出版物。
NIST SP 800-30 はどのように機能しますか?
NIST SP 800-30 Revision 1「リスク評価実施のためのガイド」は米国 NIST が発行し、NIST リスクマネジメントフレームワークの一部を構成します。リスク評価のプロセスを 4 ステップに整理しています: 評価の準備、評価の実施、結果の伝達、評価の維持。脅威源と脅威事象、脆弱性、発生可能性、影響をどのように特定し、定性的または半定量的なリスクレーティングに統合するかが解説されています。組織・ミッション・情報システムの 3 層にわたる階層的評価の参考とされ、米国連邦機関、契約業者、多くの民間組織で SP 800-37 や SP 800-39 と併用されています。
NIST SP 800-30 からどのように防御しますか?
NIST SP 800-30 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
NIST SP 800-30 の別名は何ですか?
一般的な別名: SP 800-30, リスク評価実施ガイド。
● 関連用語
- compliance№ 736
NIST SP 800-37
システムのライフサイクル全体でセキュリティおよびプライバシーリスクを管理するための 7 ステップの NIST リスクマネジメントフレームワーク。
- compliance№ 738
NIST SP 800-61
政府および産業界のインシデント対応チームが用いる 4 フェーズのライフサイクルを示す NIST「コンピュータセキュリティインシデント対応ガイド」。
- compliance№ 236
CRISC
ISACA が認定する IT リスクと統制の専門資格で、ガバナンス、IT リスク評価、対応と報告、統制選定の 4 ドメインを扱います。
- compliance№ 176
CISM
ISACA が認定する管理職向けの情報セキュリティ資格で、ガバナンス、リスク、プログラム開発、インシデント管理の 4 ドメインを扱います。
- compliance№ 936
リスクマネジメント
リスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。