サイバー・セキュリティ問題に取り組む米連邦政府機関と民間組織のコンソーシアムは米国時間2009年2月23日,サイバー・セキュリティ対策とFISMA(連邦情報セキュリティ管理法)準拠のための重要20項目を定めたガイドライン「CAG(Consensus Audit Guidelines)」のバージョン1.0(ドラフト版)を公開した。米SANS InstituteのWebサイトからダウンロード可能。一般公開(パブリック・レビュー)は同年3月23日まで。
CAGの最終版は,組織や企業におけるぜい弱性の測定基準となることを想定している。ドラフト版では,サイバー・セキュリティに深くかかわっている政府機関の専門家が,過去の経験や知識を持ち寄り,企業や組織が既知の攻撃および近い将来起こり得る攻撃を防御し,被害を最小限に食い止めるために実施するべき20の行動を定義した。
パブリック・レビューを通じて世界の専門家から意見を募り,年内に一部の連邦機関内でテスト導入する。連邦CIO評議会のセキュリティ委員会や,連邦監査チームによるレビューを行い,自動ツールの利用に関する一連のワークショップを開催する。また,他のさまざまな監査基準と比較検証する。
CAGプロジェクトは,2008年初頭に,大手企業におけるデータ紛失の多発を受けて立ち上げたもの。SANS Instituteのほか,米国家安全保障局,米国土安全保障省のUS-CERT,米MITRE,米国防総省の各部門などが参加している。
