この出版物は、非GCシステムおよび組織に情報が存在する際のCIの機密性を保護するための推奨セキュリティ要件をGC部門および機関に提供します。また、CIカテゴリに対して権限を与える法律、規制、または政府全体の方針によって特定の保護要件が定められていない場合、ITSP.10.171が十分でない可能性があります。要件は、GC部門または機関のために情報を収集または維持している非GC組織や、そのためにシステムを使用または運用している非GC組織には適用されません。この出版物のセキュリティ要件は、CIを扱う、処理する、保存する、または送信する非GCシステムのコンポーネント2、またはそのようなコンポーネントを保護するためのものにのみ適用されます。要件は、非GC組織との契約手段またはその他の合意においてGC部門および機関によって使用されることを意図しています。非GC組織が保護関連の投資決定を行い、セキュリティリスクを管理する際に、要件を適切にスコープすることが重要です。CIを扱う、処理する、保存する、または送信するためのシステムコンポーネントを指定することにより、非GC組織はシステムコンポーネントを別のセキュリティドメインに隔離することで、セキュリティ要件の範囲を制限できます。隔離は、アーキテクチャおよび設計の概念(例:ファイアウォールやその他の境界保護デバイスを使用したサブネットワークの実装や、情報フロー制御メカニズムの使用)を適用することによって達成できます。セキュリティドメインは、物理的分離、論理的分離、またはその両方の組み合わせを使用できます。このアプローチは、CIに対して十分なセキュリティを提供し、増加を避けることができます。
0 件のコメント:
コメントを投稿