NIST SP 800-53 情報システムと組織のセキュリティおよびプライバシー管理

Rev.5の最も重要な変更点は次のとおりです。

Security and Privacy Controls for Information Systems and Organizations: NIST Publishes SP 800-53, Revision 5

csrc.nist.gov

  • 統制カタログの統合:情報セキュリティとプライバシーの統制が、情報システムと組織のためのシームレスな統合統制カタログに統合されました。
  • サプライチェーンリスク管理の統合: Rev. 5は、新しいサプライチェーンリスク管理(SCRM)制御ファミリを確立し、SCRMの側面をカタログ全体に統合します。
  • 新しい最先端のコントロールの追加:これらは、最新の脅威インテリジェンスとサイバー攻撃データに基づいています(たとえば、サイバーレジリエンス、安全なシステム設計、セキュリティとプライバシーのガバナンス、および説明責任をサポートするためのコントロール)。
  • コントロールを結果ベースにする: Rev. 5は、コントロールを満たすために責任があるエンティティ(つまり、情報システム、組織)をコントロールステートメントから削除することでこれを実現します。
  • コンテンツの関係の説明の改善: Rev. 5では、要件と制御の関係、およびセキュリティとプライバシーの制御の関係が明確になっています。
  • コントロールの選択プロセスをコントロールから分離する:これにより、システムエンジニア、セキュリティアーキテクト、ソフトウェア開発者、エンタープライズアーキテクト、システムセキュリティおよびプライバシーエンジニア、ミッションまたはビジネスオーナーなど、関心のあるさまざまなコミュニティがコントロールを使用できるようになります。
  • NIST SP 800-53Bへの制御ベースラインおよび調整ガイダンスの転送:このコンテンツは、情報システムおよび組織の新しい(ドラフト)制御ベースラインに移動しました。

投稿者: 二本松 哲也

競争原理から共創原理へ SPbD Founder、 OWASP Member 、株式会社ラック セキュリティコンサルタント、総務省事業 テレワーク セキュリティ専門家、IPCC 地球温暖化防止コミュニケーター、キャリア(個人事業主:PG→SE→PL→PM)→ (会社員:システムコンサルティング事業部 部長:情シス、事業企画、プロダクト開発、知財、法務、情報セキュリティ委員会、Pマーク、IT補助金、IPO、在留資格申請、建設業許可申請)