カテゴリ:
アメリカ国立標準技術研究所(略称NIST)がNISTという基準名で作っているので非常にややこしいのですが、アメリカ政府のセキュリティ調達基準です。

NISTの衝撃。セキュリティの国際標準が、日本のビジネスを変える
https://www.techdevicetv.com/np03/

米軍のセキュリティ基準はまた別でもっと区分訳が細かいのですが、
アメリカのセキュリティ基準の特徴は
・ここからここまでの範囲というのはしっかりしている
・内容は超ざっくりで網羅するようにしている(はっきり書いてないことのほうが多い)

ため、
ぱっとした見た目で「何だ簡単じゃん」と思わせていて、
どこでも「無理なく適用できる」と思わせることが非常に巧みです。
(むしろ簡単と思わせすぎてダメな基準と日本ではいわれがちorz)

よってアメリカの基準は、
超大企業や官公庁など人数/領域規模が大きなところが最初に使うセキュリティ基準としては最適で非常に優秀だと思います。

ただし
・さらにセキュリティを厳しく出来る事が前提になっている
ため、「これがどこでも共通する最低限のライン」であり
業種だったり求められる要件によって厳しい上乗せが求められますので注意が必要です。