カジノサイト 重大リスク管理

企業リスク管理を採用しているのは民間企業だけではありません。米国政府も、ゆっくりではあるが、同様の取り組みを続けている。そして最近、ある米国連邦機関は、リスク管理原則を重要インフラの情報システムにどのように適用できるかについての新しいガイドライン草案を発表しました。

提案されたガイドラインは、米国商務省の国立標準技術研究所 (NIST) からのものです。 NIST はここ数年、リスク管理フレームワーク (RMF) の改良に取り組んできました。これは、組織が情報セキュリティの原則と実践をエンタープライズ リスク管理プログラムに統合できるよう支援することを目的としています。

RMF には、他のコンポーネントの中でも特に、セキュリティ管理を選択、実装、評価するための組織資産を評価するための構造化されたプロセスが含まれています。セキュリティ制御の監視にも使用できます。政府関係者らは、米国の重要インフラに対する脅威が脆弱性を軽減する取り組みを上回っているため、このRMFが特に必要であると述べている。

「重要なインフラストラクチャのあらゆる分野で私たちが依存している、基盤となる情報システム、コンポーネント製品、およびサービスをさらに強化することが緊急に必要です」と、NIST コンピュータ科学者のロン ロスは新しいガイドラインの序文で書いています。

ガイドラインには 7 つの目的があります。高レベルのリスク管理取り組みと下位レベルの運用活動とのつながりを強化する。リスク管理の準備活動を制度化する。 RMF を NIST のサイバーセキュリティ フレームワークとどのように調整できるかを示します。プライバシーの概念を RMF に統合します。安全なソフトウェア システムの開発を促進する。サプライチェーンのリスク管理原則をRMFに統合する。セキュリティ制御を選択するための代替アプローチを提供します。

さらに、新しいガイドラインには、組織が情報システムやプログラムに RMF を使用するための準備に役立つタスクの手順が含まれています。これらのタスクは、組織レベルとシステム レベルという個別のカテゴリに分類されます。  

組織レベルでは、これらのタスクには、従業員へのリスク管理の役割の割り当て、全体的なリスク管理戦略の確立、組織全体のリスクの評価、利害関係者保護のニーズのベースラインの確立と文書化、さまざまな情報システムの比較影響レベルの分類、継続的な監視のための組織全体の戦略の開発が含まれます。

システム レベルのタスクには、システムがサポートするビジネス ミッションの特定、システムに関心を持つ利害関係者の特定、システムが使用する情報の種類の分類、システム レベルのリスク評価の実施、システムの保護とプライバシーの要件の特定、管理と監視を目的としたシステムの登録が含まれます。

「脅威の重大かつ増大し続ける危険性を考慮すると、組織が警戒を続けること、そしてすべての組織レベルのリーダーとマネージャーが自らの責任を理解し、組織資産の保護とセキュリティ リスクの管理に責任を負うことが不可欠である」と NIST はガイドラインで述べています。