Kevin Stine (NIST), Stephen Quinn (NIST), Gregory Witte (Huntington Ingalls Industries), Karen Scarfone (Scarfone Cybersecurity), Robert Gardner (New World Technology Partners)
Integration von Cybersecurity und Enterprise Risk Management (ERM)
Ankündigung
Alle Unternehmen sollten sicherstellen, dass Cybersicherheitsrisiken in ihren ERM-Programmen (Enterprise Risk Management, ERM) die entsprechende Aufmerksamkeit erhält, die alle Arten von Risiken berücksichtigen. Einzelne Organisationen innerhalb eines Unternehmens können die Informationen zu Cybersicherheitsrisiken verbessern, die sie als Input für die ERM-Prozesse ihres Unternehmens bereitstellen. Auf diese Weise können Unternehmen und ihre Komponentenorganisationen ihre Cybersicherheitsrisiken im Rahmen ihrer breiteren Mission und Geschäftsziele besser identifizieren, bewerten und verwalten.
NIST veröffentlicht den Entwurf NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) für öffentliche Kommentare. Dieser Bericht fördert ein besseres Verständnis der Beziehung zwischen Cybersicherheitsrisikomanagement und ERM sowie der Vorteile der Integration dieser Ansätze.
Abstrakt
Die zunehmende Häufigkeit, Kreativität und Vielfalt der Cybersicherheitsangriffe bedeuten, dass alle Unternehmen sicherstellen sollten, dass Cybersicherheitsrisiken in ihren Enterprise Risk Management (ERM) -Programmen die entsprechende Aufmerksamkeit erhält. Dieses Dokument soll einzelnen Organisationen innerhalb eines Unternehmens dabei helfen, ihre Cybersicherheitsrisikoinformationen zu verbessern, die sie als Inputs zu den ERM-Prozessen ihres Unternehmens durch Kommunikation und Austausch von Risikoinformationen bereitstellen. Auf diese Weise können Unternehmen und ihre Komponentenorganisationen ihre Cybersicherheitsrisiken im Rahmen ihrer breiteren Mission und Geschäftsziele besser identifizieren, bewerten und verwalten. Dieses Dokument konzentriert sich auf die Verwendung von Risikoregistern zur Festlegung von Cybersicherheitsrisiken und erläutert den Wert der Aufrollung von Risikomaßnahmen, die normalerweise auf niedrigerer System- und Organisationsebene auf die breitere Unternehmensebene angesprochen werden.
Lesen Sie die vollständige Übersicht unter Integration von Cybersecurity und Enterprise Risk Management (ERM)
[Berichtsentwurf] Integration von Cybersecurity und Enterprise Risk Management (PDF)
Nist.IR.8286-Entwurf
Zusätzliche Lesung
Die Schnittstelle von internationalem Recht und Cyber Operations: Ein interaktives Cyber Law Toolkit
Estland und die Vereinigten Staaten bauen eine gemeinsame Cyber-Bedrohungsintelligence-Plattform auf
Quelle: ComplexDiscovery
