NIST RMF（Risk Management Framework）

NIST RMFとは、ひとことで言えば、米国政府機関のシステムに対するリスクベースのセキュリティ管理プロセスを定めた枠組みです。SP 800-37で規定され、「カテゴリ化→選定→実装→評価→認可→監視」の6ステップで構成されます。FedRAMPなど米国政府向けクラウドサービスの認証でも基盤として用いられています。NIST CSFが戦略的・成熟度評価向けであるのに対し、RMFはより実装・運用寄りの詳細プロセスを定義する点が異なります。CISSPでは両者の役割の違いが頻出です。