RMF ステップ 1 - 認証パッケージの分類

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:3分

    • 分類ステップでは、考えられる最悪のケースのシナリオに従って情報システムの重要度または機密性を定義します。 ここには、パッケージの NIST の情報タイプを選択し、その情報タイプを使用してパッケージの影響度レベルを定義する作業が含まれます。

    始める前に

    [分類] を使用するために必要なロール:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.info_system_sec_officer
    認証パッケージへの書き込みに必要なロール:
    • sn_irm_cont_auth.admin
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_officer
    情報タイプを選択するために必要なロール:
    • sn_irm_cont_auth.admin
    • sn_irm_cont_auth.system_owner

    パッケージフォームの上書きフィールドに書き込むために必要なロール:sn_irm_cont_auth.system_owner

    このタスクについて

    認証パッケージフォームで [分類] をクリックすると、[影響度 (Impact)] フィールド、[影響度 (Impact)] タブ、および [情報タイプ] 関連リストがフォームに表示されます。

    手順

    1. [情報タイプ] タブで、[編集] を選択します。
      注:
      情報タイプを選択すると、名前、カテゴリ、機密性、完全性、可用性 (CIA) 評価など、選択した情報タイプに関するガイダンスが表示されます。
      情報タイプ選択フォーム
    2. この認証パッケージに対して選択する情報タイプを複数選択し、それらを [情報タイプリスト (Information Type List)] ボックスに移動します。
    3. 選択が完了したら、[保存] を選択します。

      [情報タイプ] 関連リストには、選択した情報タイプのガイダンス情報が含まれています。

      情報タイプリスト
    4. [影響度] タブを選択し、選択した情報タイプの推奨影響度を確認します。
      注:
      [推奨] フィールドに表示される影響は、選択した情報タイプの最悪のケースのシナリオを反映しています。たとえば、高 CIA レベルの情報タイプを選択した場合、[影響度 (Impact)] タブの [推奨] フィールドにはすべてレベルのリスクが表示されます。CIA レベルは、選択した情報タイプの全体的な影響度を計算するために使用され、[影響度 (Impact)] フィールドにそれが表示されるようになりました。
    5. 影響度レベルを上書きするには、[上書き] フィールドを変更し、理由を入力します。

      上書きを指定すると、[影響度 (Impact)] フィールドが更新 CIA レベルに基づいて更新されます。

      影響度上書きフィールド
      重要:
      [影響度 (Impact)] フィールドが、承諾するデータの影響を正確に反映していることが重要です。ここから先のプロセスはすべて、その影響度レベルに依存します。NIST ガイドラインによると、実装する必要があるコントロールの数は、次のように影響度に依存します。
      • 高リスク = 343 コントロール
      • 中リスク = 262 コントロール
      • 低リスク = 125 コントロール
    6. 影響度を定義したら、[承認を要求] を選択します。
      承認を要求する認証パッケージの分類。
      承認要求が承認担当者に送信されます。承認担当者はナビゲーションペインから [自分の承認] にアクセスし、パッケージ内の情報を確認します。承認を受け取ると、パッケージは [選択] ステータスに移行します。