情報セキュリティ方針および情報セキュリティ計画
NIST 800-53のガイダンスについて質問があります。
NIST 800-53のPM-1制御では、情報セキュリティ計画が必要です。この計画には通常、すべての組織の情報セキュリティポリシー(共通の管理策)が含まれていますか?情報セキュリティ計画は情報セキュリティポリシーと見なされますか?
情報セキュリティポリシーは情報セキュリティ計画とは異なります:
情報セキュリティプランには、組織全体の情報セキュリティポリシーの実装に必要なすべてのアクションを含める必要があります。この2つは密接に結びついていますが、これらも別個のドキュメントです。
確かな情報セキュリティ計画には通常、既存のインフラストラクチャ、ネットワーク/システムのトポロジ、構成に応じて、いくつかのフェーズが含まれます。サービスを大幅に中断することなく必要なセキュリティ制御を実装するには、いくつかの異なる技術フェーズが必要になる場合があります。これは完全に主観的なものであり、想定するのはセキュリティエンジニアであるあなた次第です。
組織でNIST 800-53への準拠が必要な場合、キーワードは必須です:組織はデューデリジェンスの証明とすべての実装を示すことが期待されます必須 =アイテム、および技術的に可能な/実現可能な限り多くの「推奨」または「推奨」アイテム。
幸運を!