※このページの最下段にダウンロードボタンがあります。
米国では、連邦政府機関の情報システムにリスクマネジメントフレームワーク(RMF)の適用を義務付けており、その内容はNIST SP 800-37(Rev.2) に規定されています。更に、RMFはサプライチェーンの先に位置する民間事業者の情報システムについても採用が推奨されています。
NIST SP 800-37(Rev.2)では、情報セキュリティとプライバシーセキュリティの保護を情報システムに組み込むに当たり、システム開発ライフサイクル(SDLC)の手法を取り入れて、開発の初期からRMFを実践することで、手戻りが少なく費用対効果の高いRMFを組織的に実践することができます。
<原本のダウンロード先(NISTサイト)>
組織と情報システムのためのリスクマネジメントフレームワーク(セキュリティとプライバシーのためのシステムライフサイクルアプローチ)
NIST SP 800-37 (Rev.2) 和訳版のダウンロードは以下からどうぞ。 (その他のエヴァ社訳ダウンロードはこちら)