ぼくの全チ全ノウ

Publish: 2024/2/3
Last update: -

# NIST CyberSecurity Framework

# 参考リンク

# 全文翻訳

# タイトル

NIST サイバーセキュリティ フレームワーク 2.0

The NIST Cybersecurity Framework 2.0


# 要旨

要旨
NIST サイバーセキュリティ フレームワーク 2.0は、産業/省庁/そのほかの組織がサイバーセキュリティリスクを減らすための手引きを提供します。
本紙は、組織の大きさ/産業分類/成熟度に関係なく、サイバーセキュリティの取り組みに関する理解/評価/優先度付け/伝達に使用できる高度なサイバーセキュリティ成果の分類方法を提示します。

Abstract
The NIST Cybersecurity Framework 2.0 provides guidance to industry, government agencies, and other organizations to reduce cybersecurity risks.
It offers a taxonomy of high-level cybersecurity outcomes that can be used by any organization — regardless of its size, sector, or maturity — to better understand, assess, prioritize, and communicate its cybersecurity efforts.

このフレームワークは、成果の達成方法を提示するものではありません。
むしろ、その成果を達成するために使用可能な実践内容と管理方法について、追加のガイダンスを提供するリソースをマッピングするものです。
この文書では、サイバーセキュリティ フレームワーク 2.0とその部品似ついて解説し、いくつかの使い方を説明します。

The Framework does not prescribe how outcomes should be achieved. Rather, it maps to resources that provide additional guidance on practices and controls that could be used to achieve those outcomes.
This document explains Cybersecurity Framework 2.0 and its components and describes some of the many ways that it can be used.


# キーワード

キーワード
サイバーセキュリティ、サイバーセキュリティフレームワーク、サイバーセキュリティリスク統制、サイバーセキュリティリスク管理、サイバーセキュリティサプライチェーンリスク管理、企業リスク管理、プライバシーフレームワーク、プロファイル

Keywords
cybersecurity; Cybersecurity Framework; cybersecurity risk governance; cybersecurity risk management; cybersecurity supply chain risk management; enterprise risk management; Privacy Framework; Profiles.


# 謝辞

謝辞
このフレームワークは、アメリカ及び世界中の産業/学校/政府の協力的な努力の結晶です。
NISTは、この改訂版フレームワークに貢献したみなさんを認め、感謝を申し上げます。

フレームワーク開発に関する情報(ワークショップやドラフトを含む)は、NIST サイバーセキュリティフレームワークのウェブサイトで見つけることができます。
フレームワークを使用するレッスンで学んだことは、いつでもNISTと共有することができます。
cyberframework@nist.gov

Acknowledgments
This Framework is the result of a collaborative effort across industry, academia, and government in the United States and around the world.
NIST acknowledges and thanks all of those who have contributed to this revised Framework.

Information on the Framework development process, including workshops and drafts, can be found on the NIST Cybersecurity Framework website.
Lessons learned on the use of the Framework can always be shared with NIST through
cyberframework@nist.gov


# 目次

目次
要約 - 1

  1. 導入 - 2
    1.1. 対象者 - 3
    1.2. 文書の構造 - 4
  2. 「コア」フレームワークの理解 - 4
    2.1. 機能/カテゴリ/サブカテゴリ - 5
    2.2. 実装例と参考資料 - 7
  3. フレームワークを使う - 8
    3.1. 評価/優先順位付け/伝達のための「プロファイル」フレームワークの作成と理解 - 8
    3.2. フレームワークとサイバーセキュリティ成果の評価と優先順位付け - 12
    3.3. サイバーセキュリティリスク管理の成果に特徴を与える「Tier」フレームワークの使用 - 13
    3.4. フレームワークを使用した組織内外との伝達の改善 - 14
    3.5. フレームワークを使用したサプライチェーンのサイバーセキュリティリスク管理 - 16
  4. フレームワークを使用したその他リスク管理ドメインとサイバーセキュリティリスク管理の統合 - 18
    4.1. プライバシーフレームワークとサイバーセキュリティフレームワークの統合 - 19
    4.2. 企業リスク管理とサイバーセキュリティフレームワークの統合 - 20
  5. 次のステップ - 21

Table of Contents

  • Executive Summary - 1
  1. Introduction - 2
    1.1. Audience - 3
    1.2. Document Structure - 4
  2. Understanding the Framework Core - 4
    2.1. Functions, Categories, and Subcategories - 5
    2.2. Implementation Examples and Informative References - 7
  3. Using the Framework - 8
    3.1. Creating and Using Framework Profiles to Understand, Assess, Prioritize, and Communicate - 8
    3.2. Assessing and Prioritizing Cybersecurity Outcomes With the Framework - 12
    3.3. Using Framework Tiers to Characterize Cybersecurity Risk Management Outcomes - 13
    3.4. Improving Communication With Internal and External Stakeholders Using the Framework - 14
    3.5. Managing Cybersecurity Risk in Supply Chains With the Framework - 16
  4. Integrating Cybersecurity Risk Management With Other Risk Management Domains Using the Framework - 18
    4.1. Integrating the Cybersecurity Framework With the Privacy Framework - 19
    4.2. Integrating the Cybersecurity Framework With Enterprise Risk Management - 20
  5. Next Steps - 21
  • 付録 A. プロファイルとアクションプランのテンプレート
    • A.1. 概念的な組織プロファイルのテンプレート
    • A.2. 概念的なアクションプランのテンプレート
  • 付録 B. ティア フレームワークの説明
  • 付録 C. コア フレームワーク
  • Appendix A. Templates for Profiles and Action Plans - 23
    • A.1. Notional Organizational Profile Template - 23
    • A.2. Notional Action Plan Template - 24
  • Appendix B. Framework Tier Descriptions - 26
  • Appendix C. Framework Core - 29

以降は作成中です。

表の一覧
表1. 概念的な組織プロファイルテンプレート - 23
表2. 概念的なアクションプランのテンプレート - 25
表3. ティア フレームワーク - 26
表4. CSF2.0のコア機能/カテゴリ名/識別子

List of Tables
Table 1. Notional organizational profile template - 23
Table 2. Notional action plan template - 25
Table 3. Framework Tiers - 26
Table 4. CSF 2.0 Core Function and Category Names and Identifiers - 29
Table 5. GOVERN (GV): Establish and monitor the organization’s cybersecurity risk management strategy, expectations, and policy - 30
Table 6. IDENTIFY (ID): Help determine the current cybersecurity risk to the organization - 33
Table 7. PROTECT (PR): Use safeguards to prevent or reduce cybersecurity risk - 36
Table 8. DETECT (DE): Find and analyze possible cybersecurity attacks and compromises - 40
Table 9. RESPOND (RS): Take action regarding a detected cybersecurity incident - 41
Table 10. RECOVER (RC): Restore assets and operations that were impacted by a cybersecurity incident - 43

List of Figures
Fig. 1. Cybersecurity Framework Core - 5
Fig. 2. Framework Functions - 6
Fig. 3. Cybersecurity Framework Profiles - 9
Fig. 4. Steps for creating and using Cybersecurity Framework Profiles - 10
Fig. 5. Cybersecurity Framework Tiers - 13
Fig. 6. Using the Cybersecurity Framework to improve communication - 15
Fig. 7. Integrating cybersecurity and privacy risks - 19
Fig. 8. Cybersecurity Framework and Privacy Framework alignment - 20


# エグゼクティブサマリー