NIST SP 800-37
NIST SP 800-37 とは何ですか?
NIST SP 800-37システムのライフサイクル全体でセキュリティおよびプライバシーリスクを管理するための 7 ステップの NIST リスクマネジメントフレームワーク。
NIST SP 800-37 Revision 2「情報システムと組織のためのリスクマネジメントフレームワーク(RMF)」は米国 NIST が発行しています。本書は、セキュリティとプライバシーのリスクを管理するための 7 ステップの ライフサイクル: Prepare、Categorize、Select、Implement、Assess、Authorize、Monitor を定義します。セキュリティ、プライバシー、サプライチェーンのリスク管理を 1 つのフレームワークに統合し、FISMA、OMB Circular A-130、および NIST サイバーセキュリティフレームワークと整合しています。連邦情報システムに適用されるほか、契約業者、国防産業基盤、州・地方政府、民間組織でも採用され、再現性のある運用認可(ATO)判断に用いられます。
● 例
- 01
連邦プログラムマネージャーが新しい SaaS ワークロードの認可のために RMF の 7 ステップで ATO を進める。
- 02
防衛契約業者が CSP の共通管理策を継承し、RMF の Implement ステップで文書化する。
● よくある質問
NIST SP 800-37 とは何ですか?
システムのライフサイクル全体でセキュリティおよびプライバシーリスクを管理するための 7 ステップの NIST リスクマネジメントフレームワーク。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
NIST SP 800-37 とはどういう意味ですか?
システムのライフサイクル全体でセキュリティおよびプライバシーリスクを管理するための 7 ステップの NIST リスクマネジメントフレームワーク。
NIST SP 800-37 はどのように機能しますか?
NIST SP 800-37 Revision 2「情報システムと組織のためのリスクマネジメントフレームワーク(RMF)」は米国 NIST が発行しています。本書は、セキュリティとプライバシーのリスクを管理するための 7 ステップの ライフサイクル: Prepare、Categorize、Select、Implement、Assess、Authorize、Monitor を定義します。セキュリティ、プライバシー、サプライチェーンのリスク管理を 1 つのフレームワークに統合し、FISMA、OMB Circular A-130、および NIST サイバーセキュリティフレームワークと整合しています。連邦情報システムに適用されるほか、契約業者、国防産業基盤、州・地方政府、民間組織でも採用され、再現性のある運用認可(ATO)判断に用いられます。
NIST SP 800-37 からどのように防御しますか?
NIST SP 800-37 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
NIST SP 800-37 の別名は何ですか?
一般的な別名: SP 800-37, RMF, リスクマネジメントフレームワーク。
● 関連用語
- compliance№ 735
NIST SP 800-30
情報システムおよびそれが支援する業務に対するリスク評価の実施方法を示す NIST の特別出版物。
- compliance№ 738
NIST SP 800-61
政府および産業界のインシデント対応チームが用いる 4 フェーズのライフサイクルを示す NIST「コンピュータセキュリティインシデント対応ガイド」。
- compliance№ 236
CRISC
ISACA が認定する IT リスクと統制の専門資格で、ガバナンス、IT リスク評価、対応と報告、統制選定の 4 ドメインを扱います。
- compliance№ 176
CISM
ISACA が認定する管理職向けの情報セキュリティ資格で、ガバナンス、リスク、プログラム開発、インシデント管理の 4 ドメインを扱います。
- compliance№ 936
リスクマネジメント
リスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。
● 関連項目
- № 175CISA