CIA tunetterの監査論?~IT監査を中心に~

公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年12月26日日曜日

処理の完全性の原則と基準の表の基準2.4

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.4です。
 

Criteria 2.4
基準 2.4
The process for obtaining support and informing the entity about system processing integrity issues, errors and omissions, and breaches of systems security and for submitting complaints is communicated to authorized users.
システムの処理の完全性の件やエラーと欠落そしてシステムセキュリティの侵害と苦情の提出についてのサポートと通知を獲得するプロセスは承認されたユーザーへ伝達される。

Illustrative Controls
統制の実例

The process for customers and external users to inform the entity of possible processing integrity issues, security breaches, and other incidents is posted on the entity’s Web site and/or is provided as part of the new user welcome kit.
顧客や外部ユーザーへ可能な処理の完全性の問題・セキュリティの侵害・その他の事象を通知するための伝達プロセスはウェブサイトへ投稿されそして/または新規ユーザーの受入キットの一部として供給される。
The entity’s user training and security awareness programs include information concerning the identification of processing integrity issues and possible security breaches, and the process for informing the security administration team.
ユーザー訓練とセキュリティの気付きプログラムは処理の完全性の識別・考えうるセキュリティの侵害の情報・セキュリティ管理チームへの通知プロセスの情報を含む。
Documented procedures exist for the identification and escalation of system processing integrity issues, security breaches, and other incidents.
システムの処理の完全性の件・セキfュリティの侵害・その他の事象について識別とエスカレーションのための文書化された手続が存在する。

2010年11月20日土曜日

処理の完全性の原則と基準の表の基準2.3

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.3です。

Criteria 2.3
基準 2.3
Responsibility and accountability for the entity’s system processing integrity and related security policies, and changes and updates to those policies, are communicated to entity personnel responsible for implementing them.
システム処理の完全性と関連するセキュリティポリシーの責任と説明責任およびそれらポリシーの変更と更新はそれらを実装する責任のある従業員へ伝達される。

Illustrative Controls
統制の実例

Management has assigned responsibilities for the enforcement of the entity’s processing integrity policies to the chief financial officer (CFO). The security administration team is responsible for implementing the entity’s security policies under the direction of the CIO.
経営者は最高財務責任者へ処理の完全性のポリシーの執行の責任を割り当てる。セキュリティ管理チームはCIOの指示のもとセキュリティポリシーの実装に責任を持つ。
Others on the executive committee assist in the review and update of the policy as outlined in the executive committee handbook.
他の役員会の者は役員会ハンドブックに則りポリシーの確認と更新を補助する。
The security administration team has custody of and is responsible for the day-to-day maintenance of the entity’s security policies, and recommends changes to the CIO and the IT steering committee.
セキュリティ管理チームは管理義務を持ち、日々のセキュリティポリシーの維持に責任を持ち、CIOとIT運営委員会へ変更を勧告する。
Processing integrity and related security commitments are reviewed with the customer account managers as part of the annual IT planning process.
処理の完全性と関連するセキュリティの約束は顧客アカウント管理者により年次IT計画の過程として確認される。

2010年10月16日土曜日

処理の完全性の原則と基準の表の基準2.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.2です。

Criteria 2.2

基準 2.2
The processing integrity and related security obligations of users and the entity’s processing integrity and related security commitments to users are communicated
to authorized users.

処理の完全性と関連するユーザーのセキュリティ義務および企業の処理の完全性と関連するセキュリティのユーザーへの約束は権限のあるユーザーへ伝達される。

Illustrative Controls
統制の実例

The entity’s processing integrity and related security commitments and required processing integrity and related security obligations of its customers and other external users are posted on the entity’s Web site and/or as part of the entity’s standard services agreement.
企業の処理の完全性と関連するセキュリティの約束、要求される処理の完全性、関連する顧客と他の外部のユーザーのセキュリティの義務は企業のWebサイトまたは/若しくは企業の標準的なサービス合意に掲示される。
For its internal users (employees and contractors), the entity’s policies relating to processing integrity and security are reviewed with new employees and contractors as part of their orientation, and the key elements of the policies and their impact on the employee are discussed. New employees must sign a statement signifying that
they have read, understand, and will follow these policies. Each year, as part of their performance review, employees must reconfirm their understanding of and compliance with the entity’s processing integrity and security policies. Obligations of contractors are detailed in their contract.

内 部ユーザー(従業員、請負業者)のために、処理の完全性とセキュリティのポリシーは新規の従業員と業務委託者の導入の一環として確認され、ポリシーの重要 な要素とそれらの従業員への影響は話し合われる。新規の従業員はこれらのポリシーを読了し、理解し、従うことを証しした書面に署名する。毎年、業績評価の一環として、従業員はポリシーの理解と遵守を確認する。請負業者の義務は、その契約書に詳述される。
A security awareness program has been implemented to communicate the entity’s processing integrity and related security policies to employees.
セキュリティ意識向上プログラムは、従業員に、処理の完全性と関連するセキュリティポリシーを伝えるために実装される。
The entity publishes its IT security policies on its corporate intranet.
ITセキュリティポリシーは企業のイントラネットに掲載される。

2010年10月3日日曜日

処理の完全性の原則と基準の表の基準2.0,2.1

いろいろあって、2ヶ月ぶりの更新となります。ゆっくりと再開したいと思います。

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.0,2.1です。

Criteria 2.0
Communications: The entity communicates its documented system processing integrity policies to authorized users.
基準 2.0
伝達:文書化されたシステム処理の完全性のポリシーについて権限のあるユーザーに伝達する。


Criteria 2.1
基準 2.1
The entity has prepared an objective description of the system and its boundaries and communicated such description to authorized users.
システムとその境界についての客観的な説明を用意し、権限のあるユーザーにそれらの説明を伝達する。
If the system is an e-commerce system, additional information provided on its Web-site includes, but may not be limited to, the following matters:
もし、システムがEコマースシステムであれば、Webサイト上に供給される付加情報には以下が含まれる。(ただし、以下に限定されるわけではない)

a. Descriptive information about the nature of the goods or services that will be provided, including, where appropriate:
a. 提供される製品またはサービスの性質についての適切な場所を含む記述情報
  • Condition of goods (meaning, whether they are new, used, or reconditioned).
  • 商品の状態(新品か中古か修理品かといった意味の)
  • Description of services (or service contract).
  • サービスの記述(またはサービスの契約)
  • Sources of information (meaning, where it was obtained and how it was compiled).
  • 情報源(どこで獲得され、どのように編集されたか)
b. The terms and conditions by which it conducts its e-commerce transactions including, but not limited to, the following matters:
b. 以下の項目を含む(が限定されない)Eコマース取引の処理による諸条件
  • Time frame for completion of transactions (transaction means fulfillment of orders where goods are being sold and delivery of service where a service is being provided).
  • 取引完了のための時間枠(取引とは、品物が売られサービスが提供されようとしている場合やサービスが供給された場合の注文の履行を意味する。)
  • Time frame and process for informing customers of exceptions to normal processing of orders or service requests.
  • 通常の注文やサービス要求プロセスに対する例外の顧客への伝達の時間枠とプロセス
  • Normal method of delivery of goods or services, including customer options, where applicable.
  • 顧客のオプションを含む通常の商品やサービスの提供手法(該当する場合)
  • Payment terms, including customer options, if any.
  • 顧客オプションを含む支払い期間(もしあれば)
  • Electronic settlement practices and related charges to customers.
  • 電子決済の実施および関連する顧客への課金
  • How customers may cancel recurring charges, if any.
  • 顧客が定期的な課金をキャンセルする方法(もしあれば)
  • Product return policies and limited liability, where applicable.
  • 返品ポリシーと責任の限定(該当する場合)
c. Where customers can obtain warranty, repair service, and support related to the goods and services purchased on its Web site.
c. 顧客はどこで保証や修理サービス、ウェブサイトで購入した商品やサービスに関するサポートを獲得できるか
d. Procedures for resolution of issues regarding processing integrity. These may relate to any part of a customer’s e-commerce transaction, including complaints related to the quality of services and products, accuracy, completeness, and the consequences for failure to resolve such complaints.
d. 処理の完全性に関する事象の解決手順。これらは、サービスや製品の品質に関する苦情や正確性、完全性、それらの苦情の解決の失敗の成り行きを含み、顧客のEコマース取引のいずれかの部分に関連する。

Illustrative Controls
統制の実例

For its e-commerce system, the entity has posted a system description including the elements set out in criterion 2.1 on its Web site.
[For an example of a system description and additional disclosures for an e-commerce system, refer to Appendix A (paragraph .42).]
Eコマースシステムのために基準2.1の要素を含むシステムの説明をウェブサイトへ掲載する。
[システム説明とEコマースシステムの追加開示例は付録A(42項)を参照]

For its non–e-commerce system, the entity has provided a system description to authorized users. [For an example of a system description for a non–e-commerce based system, refer to Appendix B (paragraph .43).]
非Eコマースシステムのために認定されたユーザーへシステムの説明を供給する。[非Eコマースベースのシステムの説明の例は付録B(43項)を参照]

2010年8月1日日曜日

処理の完全性の原則と基準の表の基準1.3

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準1.3です。

Criteria 1.3
基準 1.3Responsibility and accountability for the entity’s system processing integrity and related system security policies, and changes, updates, and exceptions to those policies, are assigned.
システム処理の完全性と関連するシステムセキュリティーポリシーと変更、更新、ポリシーの例外に対する責務と説明責任が割り当てられる。
Illustrative Controls
統制の実例
Management has assigned responsibilities for the implementation of the entity’s processing integrity and related security policies to the chief information officer (CIO). Others on the executive committee assist in the review, update, and approval of the policies as outlined in the executive committee handbook.
経営者は、最高情報責任者(CIO)への処理の完全性と関連するセキュリティポリシーについて、実装の責任を割り当てられる。役員会の別の者はレビューや更新やポリシーの改善を役員会ハンドブックに則り、支援する。
Ownership and custody of significant information resources (for example, data, programs, and transactions) and responsibility for establishing and maintaining system processing integrity and related security over such resources is defined.
重要な情報源(例:データ、プログラム、取引)の所有と監護とそれらのリソースに関するシステム処理の完全性と関連するセキュリティの確立と維持の責任が定義されている。

2010年7月23日金曜日

処理の完全性の原則と基準の表の基準1.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準1.2です。

Criteria 1.2
基準 1.2
The entity’s system processing integrity and related security policies include, but may not be limited to, the following matters:
システム処 理の完全性と関連するセキュリティポリシーは以下の事柄を含む(しかし限定されるわけではない):
a. Identification and documentation of the system processing integrity and related security requirements of authorized users.
a. システム処理の完全性と関連するセキュリティの権限のあるユーザーからの要求に対する識別と文書化
b. Allowing access, the nature of that access, and who authorizes such access.
b. アクセスの許可、アクセスの種類、誰がそのようなアクセスを認めるのか
c. Preventing unauthorized access.
c. 権限のないアクセスの防御
d. The procedures to add new users, modify the access levels of existing users, and remove users who no longer need access.
d. 新規ユーザーを追加する、既存ユーザーのアクセスレベルを変更する、もはやアクセスする必要のないユーザーを削除する手順
e. Assignment of responsibility and accountability for system processing integrity and related security.
e. システム処理の完全性と関連するセキュリティーへの責務説明責任の割り当て
f. Assignment of responsibility and accountability for system changes and maintenance.
f. システム変更と保守の責務と説明責任の割り当て
g. Testing, evaluating, and authorizing system components before implementation.
g. システムコンポーネントの実装前のテスト、評価、承認
h. Addressing how complaints and requests relating to system processing integrity and related security issues are resolved.
h. どのようにシステム処理の完全性と関連するセキュリティ事項に対する不平や要望が解決されるかの取り組み
i. The procedures to handle errors and omissions and other system processing integrity and related security breaches and other incidents.
i. エラーと怠慢と他のシステム処理の完全性と関連するセキュリティ侵害と事件を取り扱う手順
j. Provision for allocation for training and other resources to support its system processing integrity and related system security policies.
j. 訓練とシステム処理の完全性と関連するシステムセキュリティーポリシーをサポートする他の資源の割り当ての供給
k. Provision for the handling of exceptions and situations not specifically addressed in its system processing integrity and related system security policies.
k. 例外およびシステム処理の完全性と関連するシステムセキュリティポリシーには具体的に述べられていない状況の取り扱いの供給
l. Provision for the identification of, and consistency with, applicable laws and regulations, defined commitments, service-level agreements, and other contracts.
l. 適用される法令と規則、定義された約束、サービスレベル合意、その他契約との一致と一貫性

Illustrative Controls
統制の実例
Management has assigned responsibilities for the implementation of the entity’s processing integrity and related security policies to the chief information officer (CIO). Others on the executive committee assist in the review, update, and approval of the policies as outlined in the executive committee handbook.
経営者は処理 の完全性と関連するセキュリティポリシーの実装の責任を最高情報責任者(CIO)へ割り当てる。他の経営委員会のメンバーはレビューや更新、ポリシーの承認について経営委員会ハンドブックに則り支援す る。
Ownership and custody of significant information resources (for example, data, programs, and transactions) and responsibility for establishing and maintaining system processing integrity and related security over such resources is defined.
重要な情報源(例:データ、プログラム、取引)の所有と監護とそれらのリソースに関するシステム処理の完全性と関連す るセキュリティの確立と維持の責任が定義されている。
The entity’s documented processing integrity and related security policies contain the elements set out in criterion 1.2.文書化された処理の完全性と関連す るセキュリティポリシーは基準1.2で設定された要素を含む。

2010年7月8日木曜日

処理の完全性の原則と基準の表 基準1.0、1.1

Processing Integrity Principle and Criteria Table
処理の完全性の原則と基準の表
.24 System processing is complete, accurate, timely, and authorized.
.24 システム処理は完全で、正確で、適時で、許可されている。

Criteria 1.0
Policies: The entity defines and documents its policies for the processing integrity of its system.

基準 1.0
ポリシー:システムの処理の完全性のポリシーを定義し、文書化する。

Criteria 1.1
The entity’s processing integrity and related security policies are established and periodically reviewed and approved by a designated individual or group.
基 準 1.1
処理の完全性と関連するセキュリティーと関連するセキュリティ ポリシーが存在し、定期的に決められた個人またはグループによって確認され、承認される。

Illustrative Controls
統制の実例
The entity’s documented systems development and acquisition process includes procedures to identify and document authorized users of the system and their processing integrity and related security requirements.
User requirements are documented in service-level agreements or other documents.
文書化されたシステムの開発と獲得手順には、承認されたシステムのユーザーと 彼らの処理の完全性および関連するセキュリティ要求を特定し記録する手順が含まれる。
ユーザーからの要求はサービスレベル合意または他の文書に記 載される。

The security officer reviews security policies annually and submits proposed changes as needed for approval by the information technology (IT) standards committee.
セキュリティ執行役員 はセキュリティポリシーを年次に確認し、情報技術(IT)標準委員会が同意した変更案を提示する。