参考情報

本文中の参照事項

  1. デジタル庁 - デジタル社会の実現に向けた重点計画(令和4年6月7日) https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/5ecac8cc-50f1-4168-b989-2bcaabffe870/d130556b/20220607_policies_priority_outline_05.pdf

国内における参考情報

  1. 内閣サイバーセキュリティセンター - 政府機関等のサイバーセキュリティ対策のための統一基準群 https://www.nisc.go.jp/policy/group/general/kijun.html

  2. ISMAP運営委員会 - 政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準 https://www.ismap.go.jp/csm

  3. JIS Q 27002:2014

  4. JIS Q 27017:2016

海外における参考情報

  1. NIST(National Institute of Standards and Technology)- SP800-53 (組織と情報システムのためのセキュリティおよびプライバシー管理策) https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000092657.pdf https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000092658.pdf

  2. NIST(National Institute of Standards and Technology)- SP800-171 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護 https://www.eva.aviation.jp/security/nist171/

  3. NIST(National Institute of Standards and Technology)- Framework for Improving Critical Infrastructure Cybersecurity Version 1.1 (重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版) https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000071204.pdf

  4. NIST(National Institute of Standards and Technology) – the Open Security Controls Assessment Language (OSCAL) https://pages.nist.gov/OSCAL/

  5. NIST(National Institute of Standards and Technology) – OSCAL GitHubページ https://github.com/usnistgov/OSCAL

  6. Federal Risk and Authorization Management Program (FedRAMP) - Automation GitHubページ https://github.com/GSA/fedramp-automation

  7. ASCS (Australian Cyber Security Centre) – ISM (Information Security Manual) OSCAL https://www.cyber.gov.au/ism/oscal

別紙1 SP800-53における管理策ファミリーの一覧

管理策番号管理策ファミリー名Control Family Name
AC-1~25アクセス制御Access Control
AT-1~6意識向上及びトレーニングAwareness and Training
AU-1~16監査および説明責任Audit and Accountability
CA-1~9アセスメント、認可、および監視Assessment, Authorization, and Monitoring
CM-1~14構成管理Configuration Management
CP-1~13緊急時対応計画Contingency Planning
IA-1~12識別および認証Identification and Authentication
IR-1~9インシデント対応Incident Response
MA-1~7メンテナンスMaintenance
MP-1~8媒体保護Media Protection
PE-1~23物理的および環境的保護Physical and Environmental Protection
PL-1~11計画Planning
PM-1~32プログラムマネジメントProgram Management
PS-1~9職員のセキュリティPersonnel Security
PT-1~8個人情報の取扱いおよび透明性PII (Personally Identifiable Information) Processing and Transparency
RA-1~10リスクアセスメントRisk Assessment
SA-1~23システムおよびサービスの取得System and Services Acquisition
SC-1~51システムおよび通信の保護System and Communications Protection
SI-1~23システムおよび情報の完全性System and Information Integrity
SR-1~12サプライチェーンのリスクマネジメントSupply Chain Risk Management