SP 800-37
NIST SP 800-37改訂第1版「Guide for Applying the Risk Management Framework to Federal Information Systems: a Security Life Cycle Approach」に記載されるNISTのRMFは、情報システムの層でリスク管理を実装する方法です。RMFは、情報セキュリティのリスク管理活動をシステム開発ライフサイクルに統合する、規律ある構造化されたプロセスを提供する6つの異なるステップで特定しまあう。リスク管理フレームワークは、情報システムとシステムの運用環境の設計、開発、実装、運用、及び破棄に関連した、組織のセキュリティ上の懸念に対応します。
本ガイドラインのセキュリティ管理策は、RMFのステップ2をサポートし、附録Fにはセキュリティ管理策の詳細なカタログが提供されます。セキュリティ管理策を選択し設定するプロセスにおいて使用を容易にするために、管理策は18 のファミリーに分類され、各ファミリーには、ファミリーの一般的なセキュリティのトピックに関連するセキュリティ管理策が含まれます。セキュリティ管理策には、情報システムと装置により実装されるポリシー、監視、監督、手動プロセス、個々のアクション、又は自動メカニズムの側面を含みます。セキュリティ管理策の構造は、次の要素から構成されます。
- セキュリティ管理策
- 補足ガイダンス
- セキュリティ管理強化策
- 参考資料
- 優先事項とベースラインの割り当て