公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年12月26日日曜日

処理の完全性の原則と基準の表の基準2.4

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.4です。
 

Criteria 2.4
基準 2.4
The process for obtaining support and informing the entity about system processing integrity issues, errors and omissions, and breaches of systems security and for submitting complaints is communicated to authorized users.
システムの処理の完全性の件やエラーと欠落そしてシステムセキュリティの侵害と苦情の提出についてのサポートと通知を獲得するプロセスは承認されたユーザーへ伝達される。

Illustrative Controls
統制の実例

The process for customers and external users to inform the entity of possible processing integrity issues, security breaches, and other incidents is posted on the entity’s Web site and/or is provided as part of the new user welcome kit.
顧客や外部ユーザーへ可能な処理の完全性の問題・セキュリティの侵害・その他の事象を通知するための伝達プロセスはウェブサイトへ投稿されそして/または新規ユーザーの受入キットの一部として供給される。
The entity’s user training and security awareness programs include information concerning the identification of processing integrity issues and possible security breaches, and the process for informing the security administration team.
ユーザー訓練とセキュリティの気付きプログラムは処理の完全性の識別・考えうるセキュリティの侵害の情報・セキュリティ管理チームへの通知プロセスの情報を含む。
Documented procedures exist for the identification and escalation of system processing integrity issues, security breaches, and other incidents.
システムの処理の完全性の件・セキfュリティの侵害・その他の事象について識別とエスカレーションのための文書化された手続が存在する。

2010年11月20日土曜日

処理の完全性の原則と基準の表の基準2.3

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.3です。

Criteria 2.3
基準 2.3
Responsibility and accountability for the entity’s system processing integrity and related security policies, and changes and updates to those policies, are communicated to entity personnel responsible for implementing them.
システム処理の完全性と関連するセキュリティポリシーの責任と説明責任およびそれらポリシーの変更と更新はそれらを実装する責任のある従業員へ伝達される。

Illustrative Controls
統制の実例

Management has assigned responsibilities for the enforcement of the entity’s processing integrity policies to the chief financial officer (CFO). The security administration team is responsible for implementing the entity’s security policies under the direction of the CIO.
経営者は最高財務責任者へ処理の完全性のポリシーの執行の責任を割り当てる。セキュリティ管理チームはCIOの指示のもとセキュリティポリシーの実装に責任を持つ。
Others on the executive committee assist in the review and update of the policy as outlined in the executive committee handbook.
他の役員会の者は役員会ハンドブックに則りポリシーの確認と更新を補助する。
The security administration team has custody of and is responsible for the day-to-day maintenance of the entity’s security policies, and recommends changes to the CIO and the IT steering committee.
セキュリティ管理チームは管理義務を持ち、日々のセキュリティポリシーの維持に責任を持ち、CIOとIT運営委員会へ変更を勧告する。
Processing integrity and related security commitments are reviewed with the customer account managers as part of the annual IT planning process.
処理の完全性と関連するセキュリティの約束は顧客アカウント管理者により年次IT計画の過程として確認される。

2010年10月16日土曜日

処理の完全性の原則と基準の表の基準2.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.2です。

Criteria 2.2

基準 2.2
The processing integrity and related security obligations of users and the entity’s processing integrity and related security commitments to users are communicated
to authorized users.

処理の完全性と関連するユーザーのセキュリティ義務および企業の処理の完全性と関連するセキュリティのユーザーへの約束は権限のあるユーザーへ伝達される。

Illustrative Controls
統制の実例

The entity’s processing integrity and related security commitments and required processing integrity and related security obligations of its customers and other external users are posted on the entity’s Web site and/or as part of the entity’s standard services agreement.
企業の処理の完全性と関連するセキュリティの約束、要求される処理の完全性、関連する顧客と他の外部のユーザーのセキュリティの義務は企業のWebサイトまたは/若しくは企業の標準的なサービス合意に掲示される。
For its internal users (employees and contractors), the entity’s policies relating to processing integrity and security are reviewed with new employees and contractors as part of their orientation, and the key elements of the policies and their impact on the employee are discussed. New employees must sign a statement signifying that
they have read, understand, and will follow these policies. Each year, as part of their performance review, employees must reconfirm their understanding of and compliance with the entity’s processing integrity and security policies. Obligations of contractors are detailed in their contract.

内 部ユーザー(従業員、請負業者)のために、処理の完全性とセキュリティのポリシーは新規の従業員と業務委託者の導入の一環として確認され、ポリシーの重要 な要素とそれらの従業員への影響は話し合われる。新規の従業員はこれらのポリシーを読了し、理解し、従うことを証しした書面に署名する。毎年、業績評価の一環として、従業員はポリシーの理解と遵守を確認する。請負業者の義務は、その契約書に詳述される。
A security awareness program has been implemented to communicate the entity’s processing integrity and related security policies to employees.
セキュリティ意識向上プログラムは、従業員に、処理の完全性と関連するセキュリティポリシーを伝えるために実装される。
The entity publishes its IT security policies on its corporate intranet.
ITセキュリティポリシーは企業のイントラネットに掲載される。

2010年10月3日日曜日

処理の完全性の原則と基準の表の基準2.0,2.1

いろいろあって、2ヶ月ぶりの更新となります。ゆっくりと再開したいと思います。

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.0,2.1です。

Criteria 2.0
Communications: The entity communicates its documented system processing integrity policies to authorized users.
基準 2.0
伝達:文書化されたシステム処理の完全性のポリシーについて権限のあるユーザーに伝達する。


Criteria 2.1
基準 2.1
The entity has prepared an objective description of the system and its boundaries and communicated such description to authorized users.
システムとその境界についての客観的な説明を用意し、権限のあるユーザーにそれらの説明を伝達する。
If the system is an e-commerce system, additional information provided on its Web-site includes, but may not be limited to, the following matters:
もし、システムがEコマースシステムであれば、Webサイト上に供給される付加情報には以下が含まれる。(ただし、以下に限定されるわけではない)

a. Descriptive information about the nature of the goods or services that will be provided, including, where appropriate:
a. 提供される製品またはサービスの性質についての適切な場所を含む記述情報
  • Condition of goods (meaning, whether they are new, used, or reconditioned).
  • 商品の状態(新品か中古か修理品かといった意味の)
  • Description of services (or service contract).
  • サービスの記述(またはサービスの契約)
  • Sources of information (meaning, where it was obtained and how it was compiled).
  • 情報源(どこで獲得され、どのように編集されたか)
b. The terms and conditions by which it conducts its e-commerce transactions including, but not limited to, the following matters:
b. 以下の項目を含む(が限定されない)Eコマース取引の処理による諸条件
  • Time frame for completion of transactions (transaction means fulfillment of orders where goods are being sold and delivery of service where a service is being provided).
  • 取引完了のための時間枠(取引とは、品物が売られサービスが提供されようとしている場合やサービスが供給された場合の注文の履行を意味する。)
  • Time frame and process for informing customers of exceptions to normal processing of orders or service requests.
  • 通常の注文やサービス要求プロセスに対する例外の顧客への伝達の時間枠とプロセス
  • Normal method of delivery of goods or services, including customer options, where applicable.
  • 顧客のオプションを含む通常の商品やサービスの提供手法(該当する場合)
  • Payment terms, including customer options, if any.
  • 顧客オプションを含む支払い期間(もしあれば)
  • Electronic settlement practices and related charges to customers.
  • 電子決済の実施および関連する顧客への課金
  • How customers may cancel recurring charges, if any.
  • 顧客が定期的な課金をキャンセルする方法(もしあれば)
  • Product return policies and limited liability, where applicable.
  • 返品ポリシーと責任の限定(該当する場合)
c. Where customers can obtain warranty, repair service, and support related to the goods and services purchased on its Web site.
c. 顧客はどこで保証や修理サービス、ウェブサイトで購入した商品やサービスに関するサポートを獲得できるか
d. Procedures for resolution of issues regarding processing integrity. These may relate to any part of a customer’s e-commerce transaction, including complaints related to the quality of services and products, accuracy, completeness, and the consequences for failure to resolve such complaints.
d. 処理の完全性に関する事象の解決手順。これらは、サービスや製品の品質に関する苦情や正確性、完全性、それらの苦情の解決の失敗の成り行きを含み、顧客のEコマース取引のいずれかの部分に関連する。

Illustrative Controls
統制の実例

For its e-commerce system, the entity has posted a system description including the elements set out in criterion 2.1 on its Web site.
[For an example of a system description and additional disclosures for an e-commerce system, refer to Appendix A (paragraph .42).]
Eコマースシステムのために基準2.1の要素を含むシステムの説明をウェブサイトへ掲載する。
[システム説明とEコマースシステムの追加開示例は付録A(42項)を参照]

For its non–e-commerce system, the entity has provided a system description to authorized users. [For an example of a system description for a non–e-commerce based system, refer to Appendix B (paragraph .43).]
非Eコマースシステムのために認定されたユーザーへシステムの説明を供給する。[非Eコマースベースのシステムの説明の例は付録B(43項)を参照]

2010年8月1日日曜日

処理の完全性の原則と基準の表の基準1.3

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準1.3です。

Criteria 1.3
基準 1.3Responsibility and accountability for the entity’s system processing integrity and related system security policies, and changes, updates, and exceptions to those policies, are assigned.
システム処理の完全性と関連するシステムセキュリティーポリシーと変更、更新、ポリシーの例外に対する責務と説明責任が割り当てられる。
Illustrative Controls
統制の実例
Management has assigned responsibilities for the implementation of the entity’s processing integrity and related security policies to the chief information officer (CIO). Others on the executive committee assist in the review, update, and approval of the policies as outlined in the executive committee handbook.
経営者は、最高情報責任者(CIO)への処理の完全性と関連するセキュリティポリシーについて、実装の責任を割り当てられる。役員会の別の者はレビューや更新やポリシーの改善を役員会ハンドブックに則り、支援する。
Ownership and custody of significant information resources (for example, data, programs, and transactions) and responsibility for establishing and maintaining system processing integrity and related security over such resources is defined.
重要な情報源(例:データ、プログラム、取引)の所有と監護とそれらのリソースに関するシステム処理の完全性と関連するセキュリティの確立と維持の責任が定義されている。

2010年7月23日金曜日

処理の完全性の原則と基準の表の基準1.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準1.2です。

Criteria 1.2
基準 1.2
The entity’s system processing integrity and related security policies include, but may not be limited to, the following matters:
システム処 理の完全性と関連するセキュリティポリシーは以下の事柄を含む(しかし限定されるわけではない):
a. Identification and documentation of the system processing integrity and related security requirements of authorized users.
a. システム処理の完全性と関連するセキュリティの権限のあるユーザーからの要求に対する識別と文書化
b. Allowing access, the nature of that access, and who authorizes such access.
b. アクセスの許可、アクセスの種類、誰がそのようなアクセスを認めるのか
c. Preventing unauthorized access.
c. 権限のないアクセスの防御
d. The procedures to add new users, modify the access levels of existing users, and remove users who no longer need access.
d. 新規ユーザーを追加する、既存ユーザーのアクセスレベルを変更する、もはやアクセスする必要のないユーザーを削除する手順
e. Assignment of responsibility and accountability for system processing integrity and related security.
e. システム処理の完全性と関連するセキュリティーへの責務説明責任の割り当て
f. Assignment of responsibility and accountability for system changes and maintenance.
f. システム変更と保守の責務と説明責任の割り当て
g. Testing, evaluating, and authorizing system components before implementation.
g. システムコンポーネントの実装前のテスト、評価、承認
h. Addressing how complaints and requests relating to system processing integrity and related security issues are resolved.
h. どのようにシステム処理の完全性と関連するセキュリティ事項に対する不平や要望が解決されるかの取り組み
i. The procedures to handle errors and omissions and other system processing integrity and related security breaches and other incidents.
i. エラーと怠慢と他のシステム処理の完全性と関連するセキュリティ侵害と事件を取り扱う手順
j. Provision for allocation for training and other resources to support its system processing integrity and related system security policies.
j. 訓練とシステム処理の完全性と関連するシステムセキュリティーポリシーをサポートする他の資源の割り当ての供給
k. Provision for the handling of exceptions and situations not specifically addressed in its system processing integrity and related system security policies.
k. 例外およびシステム処理の完全性と関連するシステムセキュリティポリシーには具体的に述べられていない状況の取り扱いの供給
l. Provision for the identification of, and consistency with, applicable laws and regulations, defined commitments, service-level agreements, and other contracts.
l. 適用される法令と規則、定義された約束、サービスレベル合意、その他契約との一致と一貫性

Illustrative Controls
統制の実例
Management has assigned responsibilities for the implementation of the entity’s processing integrity and related security policies to the chief information officer (CIO). Others on the executive committee assist in the review, update, and approval of the policies as outlined in the executive committee handbook.
経営者は処理 の完全性と関連するセキュリティポリシーの実装の責任を最高情報責任者(CIO)へ割り当てる。他の経営委員会のメンバーはレビューや更新、ポリシーの承認について経営委員会ハンドブックに則り支援す る。
Ownership and custody of significant information resources (for example, data, programs, and transactions) and responsibility for establishing and maintaining system processing integrity and related security over such resources is defined.
重要な情報源(例:データ、プログラム、取引)の所有と監護とそれらのリソースに関するシステム処理の完全性と関連す るセキュリティの確立と維持の責任が定義されている。
The entity’s documented processing integrity and related security policies contain the elements set out in criterion 1.2.文書化された処理の完全性と関連す るセキュリティポリシーは基準1.2で設定された要素を含む。

2010年7月8日木曜日

処理の完全性の原則と基準の表 基準1.0、1.1

Processing Integrity Principle and Criteria Table
処理の完全性の原則と基準の表
.24 System processing is complete, accurate, timely, and authorized.
.24 システム処理は完全で、正確で、適時で、許可されている。

Criteria 1.0
Policies: The entity defines and documents its policies for the processing integrity of its system.

基準 1.0
ポリシー:システムの処理の完全性のポリシーを定義し、文書化する。

Criteria 1.1
The entity’s processing integrity and related security policies are established and periodically reviewed and approved by a designated individual or group.
基 準 1.1
処理の完全性と関連するセキュリティーと関連するセキュリティ ポリシーが存在し、定期的に決められた個人またはグループによって確認され、承認される。

Illustrative Controls
統制の実例
The entity’s documented systems development and acquisition process includes procedures to identify and document authorized users of the system and their processing integrity and related security requirements.
User requirements are documented in service-level agreements or other documents.
文書化されたシステムの開発と獲得手順には、承認されたシステムのユーザーと 彼らの処理の完全性および関連するセキュリティ要求を特定し記録する手順が含まれる。
ユーザーからの要求はサービスレベル合意または他の文書に記 載される。

The security officer reviews security policies annually and submits proposed changes as needed for approval by the information technology (IT) standards committee.
セキュリティ執行役員 はセキュリティポリシーを年次に確認し、情報技術(IT)標準委員会が同意した変更案を提示する。

2010年7月5日月曜日

Processing Integrity Principle and Criteria .23

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回はProcessing Integrity Principle and Criteriaの.23 です。

.23 Processing integrity differs from data integrity. Processing integrity does not automatically imply that the information stored by the system is complete, accurate, current, and authorized. If a system processes information inputs from sources outside of the system’s boundaries, an entity can establish only limited controls over the completeness, accuracy, authorization, and timeliness of the information submitted for processing. Errors that may have been introduced into the information and the control procedures at external sites are typically beyond the entity’s control. When the information source is explicitly excluded from the description of the system that defines the engagement, it is important to describe that exclusion in the system description. In other situations, the data source may be an inherent part of the system being examined, and controls over the completeness, accuracy, authorization, and timeliness of information submitted for processing would be included in the scope of the system as described. 

.23 処理の完全性 はデーターの完全性と異なる。処理の完全性はシステムに保存された情報が完全であり、正確であり、最新であり、正規であることを自動的に意味しない。 あるシステムがシステムの境界外からの入力情報を処理する場合、処理に送られる情報の完全性、正確性、承認、適時性について限定的な統制のみとなる。情報や統制手続 に外部サイトから取り入れられ るエラーは典型的に統制外となる。
情報源が明確に、契約を定義したシステムの説明か ら除外されている場合、システムの説明に除外されていることを記述することが重要である。別の状況では、データー源は検討されているシステムの固有部分で あり、処理に送られた情報の完全性、正確性、承認、適時性についての統制は記述されたシステムの範囲に含まれるであろう。

2010年6月25日金曜日

Processing Integrity Principle and Criteria .22

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回はProcessing Integrity Principle and Criteriaの.22 です。

.22 The risks associated with processing integrity are that the party initiating the transaction will not have the transaction completed or the service provided correctly, and in accordance with the desired or specified request. Without appropriate processing integrity controls, the buyer may not receive the goods or services ordered, receive more than requested, or receive the wrong goods or services altogether. However, if appropriate processing integrity controls exist and are operational within the system, the buyer can be reasonably assured that the correct goods and services in the correct quantity at the correct price are received when promised. Processing integrity addresses all of the system components including procedures to initiate, record, process, and report the information, product, or service that is the subject of the engagement. The nature of data input in e-commerce systems typically involves the user entering data directly over Web-enabled input screens or forms, whereas in other systems, the nature of data input can vary significantly. Because of this difference in data input processes, the nature of controls over the completeness and accuracy of data input in e-commerce systems may be somewhat different than for other systems. The illustrative controls outlined in the following table identify some of these differences.

.22 処理の完全性に関するリスクとは、取引を開始した当事者が完全な取引を保持できない、または、正しくサービスが提供されない、そして欲求または特定の要求 の基づいていることである。適切な処理の完全性の統制なしでは、買い手は注文した商品やサー ビスを受け取ることができなかったり、要求より多いまたは不良な商品やサービスを受け取ることになるかも知れない。しかしながら、もし適切な処理の完全性 が存在し、システムで運用されていれば、買い手は約定すると正しい商品とサービスを適切な量の適切な価格で受け取ることを合理的に保証される。処理の完全性とは全てのシステムコ ンポーネントが関与の対象となる情報・製品・サービスの開始・記録・過程・報告手順を含むことを言う。eコマースシステムで入力されたデーターの性質は、典型的に、ユーザーがWeb対応の画面またはフォームで直接入力した データーを意味し、一方、他のシステムでは入力データーの性質は大幅に異なる。データー入力過程の違いによってeコマースシステムでのデーター入力の完全 性と正確性の統制は他のシステムとは何か異なるかもしれない。統制の実例の概要の以下の表はこれらの差異を識別する。

2010年6月23日水曜日

Processing Integrity Principle and Criteria .21

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回はProcessing Integrity Principle and Criteriaの.21 です。

Processing Integrity Principle and Criteria

処理の完全 性の原則と基準

.21 The processing integrity principle refers to the completeness, accuracy, timeliness, and authorization of system processing. Processing integrity exists if a system performs its intended function in an unimpaired manner, free from unauthorized or inadvertent manipulation. Completeness generally indicates that all transactions and services are processed or performed without exception, and that transactions and services are not processed more than once. Accuracy includes assurances that key information associated with the submitted transaction will remain accurate throughout the processing of the transaction and the transaction or services are processed or performed as intended. The timeliness of the provision of services or the delivery of goods is addressed in the context of commitments made for such delivery. Authorization includes assurances that processing is performed in accordance with the required approvals and privileges defined by policies governing system processing.
.21 処理の完全性の原則と基準は完全性、正確性適時性そしてシステム処理の権限について言及する。処理の完全性はシステムが意図した機能で動作し、不正または不注意な操作がなければ存在する。完全さは一般的に全ての取引とサービスが例外なく処理または動作されていることを示し、取引とサービスは2回以上処理さ れずに動作することを示す。正確性は、送信された取引に関連づけられた重要情報が取引の処理中正 確であることと取引またはサービスが意図した処理または動作をすることの保証を含むサービスの提供または商品の配達の適時性は提供のためになされた約束の状況によって説明される。
承認は、処理が求められる承認とシステ ム処理を統括するポリシーにより定義された権限に基づき動作することの保証を含む。

2010年6月22日火曜日

基準 4.3

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 4.3です。

Criteria 4.3
Environmental and technological changes are monitored and their effect on system availability and security is assessed on a timely basis.
基準 4.3
環境と技術的な変更は監視され、それらのシステムの可用性とセキュリティへの影響は適時に評 価されている。
Illustrative Controls

統制の実例
The entity’s data center facilities include climate and environmental monitoring devices. Deviations from optimal performance ranges are escalated and resolved.データセンター施設には気候と環境の監視装置が含まれる。最適なパフォーマンスの範囲からの逸脱は上申され解決され る。
Senior management, as part of its annual IT planning process, considers developments in technology and the impact of applicable laws or regulations on the entity’s availability and related security policies.上級管理者は、年度IT計画策定過程の一部として技術開発と適用される法令や 可用性の規則、関連するセキュリティポリシーへの影響を考慮する。
The entity’s customer service group monitors the impact of emerging technologies, customer requirements, and competitive activities.
顧 客サービスグループは新たな技術や顧客の要求、競合の活動の影響を監視する。

2010年6月21日月曜日

基準 4.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 4.2です。

Criteria 4.2
There is a process to identify and address potential impairments to the entity’s ongoing ability to achieve its objectives in accordance with its defined system availability and related security policies.
定義されたシステムの可用性と関連 するセキュリティポリシーに基づき目的を達成するための継続能力への潜在的な障害の識別と対処のプロセスがある。

基準 4.2

Network performance and system processing are monitored using system monitoring tools by onsite operations staff 24 hours a day, 7 days a week. Network performance, system availability, and security incident statistics and comparisons to approved targets are accumulated and reported to the IT steering committee monthly.
ネットワークパフォーマンスとシ ステム処理はシステム監視ツールを用いてオンサイトオペレーションスタッフによって24時間週7日監視される。ネットワークパフォーマンス、システムの可 用性、セキュリティ事故統計と承認されたターゲットとの比較は蓄積されIT運営委員会へ毎月報告される。
Future system performance, availability, and capacity requirements are projected and analyzed as part of the annual IT planning and budgeting process.
将来のシステムパフォーマンス、可用性、キャパシティの要求は、年度のIT計画と予算編成過程の一部として見積もられ 分析される。
Logs are analyzed to identify trends that may have a potential impact on the entity’s ability to achieve its system availability and related security objectives.
記録(ログ)は分析され、システムの可用性と関連するセキュリティ目的を達成する能力への潜在的影響の傾向が識別され る。
Monthly IT staff meetings are held to address system performance, availability, capacity, and security concerns and trends; findings are discussed at quarterly management meetings.
月次ITスタッフミーティングはシステムパ フォーマンス、能力、キャパシティ、セキュリティ関連事項と傾向について話されるために開催される。発見事項は四半期毎の経営者ミーティングにて議論され る。

2010年6月17日木曜日

基準 4.0、4.1

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 4.0、4.1です。

Criteria
4.0
Monitoring: The entity monitors the system and takes action to maintain compliance with its defined system availability policies.
基準 4.0監視:システムを監視し、システム可用性ポリシーを遵守した保守の行動をとる。
Criteria 4.1
The entity’s system availability and security performance is periodically reviewed and compared with the defined system availability and related security policies.
基準 4.1
システムの可用性とセキュリティーパフォーマンスは定期的に確認され、定義されたか用性と関連するセキュリティポリ シーと比較される。

Illustrative Controls
統制の実例
Network performance and system processing are monitored using system monitoring tools by onsite operations staff 24 hours a day, 7 days a week. Network performance, system availability, and security incident statistics and comparisons to approved targets are accumulated and reported to the IT steering committee monthly.
ネットワークパフォーマンスとシステム処理はオンサ イトオペレーションスタッフによって24時間・週7日システム監理ツールを使用して監視される。ネットワークのパフォーマンス、システムの可用性、セキュ リティ事故統計と認定されたターゲットとの比較は蓄積されIT運営委員会に月例で報告される。
The customer service group monitors system availability and related customer complaints. It provides a monthly report of such matters together with recommendations for improvement, which are considered and acted on at the monthly IT steering committee meetings.
顧客サービスグループは可用性 と顧客の遵法に関連するシステムを監視する。月例IT運営委員会の会合で考慮され行動された 事項について改善の提言とともに月例報告が提供される。
The information security team monitors the system and assesses the system vulnerabilities using proprietary and other tools. Potential risk is evaluated and compared to service-level agreements and other obligations of the entity. Remediation plans are proposed and implementation is monitored.
情報セキュリティチームはシステムを監視し、所有権およびその他のツールを使いシステムの脆弱性を評価する。潜在的リスクは評価されサービスレベル合意や他の義務と比較される。修復計画が提案 され、実装が監視される。
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. The internal audit function conducts system availability and system security reviews as part of its annual audit plan. Results and recommendations for improvement are reported to management.
第三者と定期的なセキュリティ確認と脆弱 性評価指揮の契約をする。内部監査機能はシステムの可用性とシステムセキュリティ確認を年度監査計画の一部として指揮する。結果および改善提言は経営者に 報告される。

2010年6月16日水曜日

基準3.15

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.15です。

Criteria 3.15
Procedures exist to provide that emergency changes are documented and authorized (including after-the-fact approval).

基準3.15
緊急の変更がドキュメント化・許可されることを供給する手順が存在する。(事後承認を含む)

Illustrative Controls
統制の実例
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
変更要求、システムメンテナンス、サプライヤーによるメン テナンスは標準化され、ドキュメント化された変更管理手順に従う。変更は優先度に従って分類 されランク付けされ、緊急事項を取り扱う手順が存在する。
Change requestors are kept informed about the status of their requests.
変更要求者は自身の要求の状態を案内され続ける。
Emergency changes that require deviations from standard procedures are logged and reviewed by IT management daily and reported to the affected line-of-business manager. Permanent corrective measures follow the entity’s change management process, including line-of-business approvals.
標準的な手順か らの逸脱を必要とする緊急の変更は記録され、IT管理者によって毎日確認さ れ、影響を受けるビジネスラインの管理者へ報告される。永続的な是正措置はビジネスラインの 承認を含む変更管理プロセスに従う。

2010年6月15日火曜日

基準 3.14

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.14です。

Criteria 3.14
Procedures exist to provide that only authorized, tested, and documented changes are made to the system.

基準3.14
許可され、テストされ、文書化された変更のみが加えられることを供給する手順が存在する。
Illustrative Controls
統制の実例
Senior management has implemented a division of roles and responsibilities that segregates incompatible functions.
上級管理職は職務の分離と互換性の無い機能を分離する責任がある。
The entity’s documented systems development methodology describes the change initiation, software development and maintenance, and approval processes, as well as the standards and controls that are embedded in the processes. These include programming, documentation, and testing standards.
文書化されたシステムの開発方法論には、プロセスに組み込まれた基準と統制と同様に、変更の開始、ソフトウェアの開発と 保守、承認プロセスが記述される。
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
変更要求、システム保 守、サプライヤーの保守は標準化され、文書の変更管理手続に従う。変更は優先度によって分類されランク付けされ、緊急事項を取り扱う手順がある。
Change requestors are kept informed about the status of their requests.
変更要求者は彼らの要求の状況を案内され続ける。
Changes to system infrastructure and software are developed and tested in a separate development or test environment before implementation into production.
システムインフラとソフトウェアの変更は、分離された開発またはテスト環境にて実機への実装前に開発・テストされる。
As part of the change control policies and procedures, there is a “promotion” process (for example, from “test” to “staging” to “production”).
変更統制ポリシーと手順の一部として、展開プロセスがあ る。(例:テストから実機への足場)
Promotion to production requires the approval of the business owner who sponsored the change and the manager of computer operations.
実機への展開には提供者であるビジネスの オーナーとコンピューターオペレーションの管理者の承認が必要となる。
When changes are made to key systems components, there is a "backout" plan developed for use in the event of major interruption(s).
重要なシステム コンポーネントに変更を行う場合、大規模な阻害事象発生時に使用するため開発された巻き戻し計画がある。

2010年6月14日月曜日

基準 3.13

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.13です。

Maintainability-related criteria applicable to the system’s availability
システムの可用性に適用可能な保守性に関する基準

Criteria 3.13
Procedures exist to maintain system components, including configurations consistent with the defined system availability and related security policies.

基準3.13
定義されたシステムの可用性と関連するセキュリティポリシーと一致した 設定を含むシステムコンポーネントを保守するための手順が存在する。

Illustrative Controls
統制の実例
Entity management receives a third-party opinion on the adequacy of security controls, and routinely evaluates the level of performance it receives (in accordance with its contractual service-level agreement) from the service provider that hosts the entity’s systems and Web site.
経営 者はセキュリティ統制の妥当性についての第三者意見を受け取り、定期的にシステムとWebサイトをホストしているサービスプロバイダーから受け取るパ フォーマンスレベルを評価する。
The IT department maintains a listing of all software and the respective level, version, and patches that have been applied.
IT部門は全てのソフトウェアとそれぞれのレベル、バージョ ン、適用されたパッチの一覧を保守する。
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
変更要求、システム保守、サプライヤーの保守は標準化さ れ、文書化された変更管理手順に従う。変更は分類され、優先順位によってランク付けられ、緊急事項を取り扱う手順が用意されている。
Change requestors are kept informed about the status of their requests.
変更の要求者は自身の要求の状況を案内され続ける。
Staffing, infrastructure, and software requirements are periodically evaluated and resources are allocated consistent with the entity’s availability and related security policies.
人材、インフラ ストラクチャ、およびソフトウェアの要件は、定期的に評価され、リソースは可用性と関連するセキュリティポリシーに一致して割り当てられる。
System configurations are tested annually and evaluated against the entity’s processing performance, availability, and security policies,and current service-level agreements. An exception report is prepared and remediation plans are developed and tracked.
システム設定は毎年テストされ、処理パフォーマンスと可用性とセキュリティポリシーと現在のサービスレベル合意に対して 評価される。例外 レポートが 用意され、改善計画が開発され、追跡される。
The IT steering committee, which includes representatives from the lines of business and customer support, meets monthly and reviews anticipated, planned, or recommended changes to the entity’s availability and related security policies, including the potential impact of legislative changes.
ビジネスラインと顧客サポートの代表を含むIT運営委員会は毎月会合し、予想と計画、または推奨された可用性と法改正の潜在的な影響を含んだ関連するセキュリティポリシーへの変更を確認する。

2010年6月12日土曜日

基準 3.12

※ワールドカップのオープニングゲームを見ていたら更新を忘れました。。。


引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.12です。

Criteria 3.12
Procedures exist to provide that personnel responsible for the design, development, implementation, and operation of systems affecting availability and security are qualified to fulfill their responsibilities.

基準3.12
デザイン、開発、実装の社員の責任を供給する手順が存在し、可用性とセキュリティに影響するシステムのオペレーション は責任を果たすために資格化されている。

Illustrative Controls

統制の実例

The entity has written job descriptions specifying the responsibilities and academic and professional requirements for key job positions.
責任と学力水準と専門性の要求を特定した職務内容を記述する。
Hiring procedures include a comprehensive screening of candidates for key positions and consideration of whether the verified credentials are commensurate with the proposed position. New personnel are offered employment subject to background checks and reference validation.
採用手続には、重要ポジションの候補者の包括的なスクリーニングと検査情報が提案のポジションに見合っているかどうか の考慮が含まれる。
Candidates, including internal transfers, are approved by the line-of-business manager before the employment position is offered.
内部異動者を含む候補者は、採用ポジションの提示の前に、ビジネス ラインのマネージャーによって承認されている。
Periodic performance appraisals are performed by employee supervisors and include the assessment and review of professional development activities.
定期的 なパフォーマンス査定は、従業員の監督者によって実行され、専門性開発活動の評価と確認が含まれる。
Personnel receive training and development in system availability concepts and issues.
社員はシステム可用性コンセプトと事項のトレーニングと開発を受ける。
Procedures are in place to provide alternate personnel for key system availability functions in case of absence or departure.
不 在または離脱に備え、重要なシステム能力機能について代替社員を供給する手続がある。

2010年6月10日木曜日

基準 3.11

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.11です。

Criteria related to the system components used to achieve the objectives

目的達成に使用されるシステムコンポーネントに関する 基準

Criteria 3.11
Design, acquisition, implementation, configuration, modification, and management of infrastructure and software related to system availability and security are consistent
with defined system availability and related security policies.

基準3.11
インフラとシス テム可用性とセキュリティに関連するソフトウェアのデザイン、取得、実装、設定、改変、管理は定義されたシステム化用性と関連するセキュリティポリシーと 一致する。


Illustrative Controls
統制の実例
The entity has adopted a formal systems development life cycle (SDLC) methodology that governs the development, acquisition, implementation, and maintenance of computerized information systems and related technology.
コンピュータ化された情報システムと関連するテクノロジーの開発、取得、実装、保守管理する正式なシステム開発ライフサ イクル(SDLC)方法論を取り入れる。
The SDLCm ethodology includes a framework for:
SDLC方法論は以下のフレームワークを含む:
  • Establishing performance level and system availability requirements based on user needs.
  • ユーザーニーズに基づいたパフォーマンスレベル とシステム化用性の要求の確立
  • Maintaining the entity’s backup and disaster recovery planning processes in accordance with user requirements.
  • ユーザー要求に従ったバックアッ プの保守と災害復旧計画
  • Classifying data and creating standard user profiles that are established based on an assessment of the business impact of the loss of security; assigning standard profiles to users based on needs and functional responsibilities.
  • セキュリティが欠けることによるビジネスへの影響の見積に基づき確立された、データーの 分類と標準ユーザープロフィールの作成;ユーザーのニーズと責任の機能に基づいて、標準のプロフィールを割り当てる
  • Testing changes to system components to minimize the risk of an adverse impact to system performance and availability.
  • テストすることによって、システムコンポーネントはシステムのパフォーマンスと可用性への悪影響のリスクが最小限となる
  • Development of “backout” plans before implementation of changes.
  • 「取り消し」の開発は変更の実装前に計画する
Owners of the information and data establish processing performance and availability benchmarks, classify its sensitivity, and determine the level of protection required to maintain an appropriate level of security.
情報とデータの所有者は、処理と可用性のベンチマーク、機微な情報の機密扱い、適切なセキュリティレベルを保持するために求められる保護レベ ルの決定の処理を確立する。
The security administration team reviews and approves the architecture and design specifications for new systems development and/or acquisition to ensure consistency with the entity’s availability and related security policies.
セキュリティ管理チームは新しいシステム開発と/または関連するセキュ リティポリシーのアーキテクチャーとデザインの仕様を確認し、認定する。
Changes to system components that may affect systems processing performance, availability, and security require the approval of the security administration team.
システム処理パフォーマンスや可用性、セキュリティに影響する変更は、セキュリティ管理チームが認めることを要する。
The access control and operating system facilities have been installed, including the implementation of options and parameters, to restrict access in accordance with the entity’s security objectives, policies, and standards.
アクセスコントロールとオペレーティングシステム設備が、セ キュリティ目的・ポリシー・標準に従ってアクセスを制限するために、オプションとパラメーターの実装を含めて、構築される。
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. Results and recommendations for improvement are reported to management.
第三者 に定期的なセキュリティ確認と脆弱性見積りの実施を委託する。結果と改善提言は経営者に報告される。

2010年6月9日水曜日

基準 3.10

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.10です。

Criteria 3.10
基準 3.10
Procedures exist to provide that issues of noncompliance with system availability and related security policies are promptly addressed and that corrective measures are taken on a timely basis.
システムの可用性 および関連するセキュリティポリシーを遵守しないという問題が速やかに説明されることと是正措置が適時にとられることを提供する手順が存在する。
Illustrative Controls
統制の実例
System processing and security-related issues are recorded and accumulated in a problem report. Corrective action is noted and monitored by management.
システム処理とセキュリティ関連の問題は問題報告に記録され蓄積される。是正措置は経営者によって気付かれ監視され る。
As a part of the monthly monitoring of the site, availability and site usage reports are compared to the disclosed availability levels. This analysis is used to forecast future capacity, reveal any performance issues, and provide a means of fine-tuning the system.
月例のサイト監視の一部として、可用性とサイト有用性報告は公開されている有用性レ ベルと比較される。この分析は将来の許容量予想すること、あらゆるパフォーマンス問題を明らかにすること、システムのファインチューニングの手段を供給す ることに使用される。
Standard procedures exist for the documentation, escalation, resolution, and review of problems.
文 書化、エスカレーション、解決、問題の確認の標準手順が存在する。
On a routine basis, security policies, controls, and procedures are audited by the internal audit department. Results of such examinations are reviewed by management, a response is prepared, and a remediation plan is put in place.
定期的にセキュリティポリシー、統制、手順は内部監査部門によって監査される。このような試験の結果は経営者によって確認され、応答が用意され、改善計画が配備される。
Entity management evaluates the level of performance it receives from the Internet service provider (ISP) which hosts the entity Web site. This evaluation is done by evaluating the provider’s actual performance as compared to agreed service-level commitments including measures for system processing performance levels, availability, and security controls the ISP has in place.
経営者ウェブサイトを置いているイ ンターネットサービスプロバイダ(ISP)から受け取るパフォーマンスのレベルを評価する。この評価はプロバイダの実際のパフォーマンスを、システム処理 パフォーマンス、可用性、ISPが装備するセキュリティ統制の評価基準を含む、合意したサービスレベルコミットメントと比較して評価することで実施される。
Management receives an annual independent third-party report on the adequacy of internal controls from its Web-hosting service provider.
経営者はウェブホスティングサービス プロバイダから、年次で独立した第三者の内部統制の妥当性についての報告を受け取る。
Management reviews these reports and follows up with the service provider management on any open items or causes for concern.
経営者はこれらの報告を確 認し、サービスプロバイダとともにあらゆる未確認事項や懸念要因についてフォローアップする。

2010年6月8日火曜日

基準 3.9

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.9です。

Criteria 3.9
基準 3.9
Procedures exist to identify, report, and act upon system availability issues and related security breaches and other incidents.
システムの可用性の問題および関連するセキュ リティの侵害や他の事件についての識別、報告、行動の手順が存在する。

Illustrative Controls
統制の実例
Users are provided instructions for communicating system availability issues, potential security breaches, and other issues to the help desk or customer service center.
ユーザーはシステムの可用性に関する事柄、潜在的セキュリティ侵害、ヘルプデスクまたはカスタマーサービスセンターに対 するその他の事項の伝達の案内が供給される。
Documented procedures exist for the escalation of system availability issues and potential security breaches that cannot be resolved by the help desk.
システム の可用性の問題とヘルプデスクで解決できない潜在的なセキュリティ侵害について、エスカレーションのためのドキュメント化された手順が存在する。
Network performance and system processing are monitored using system monitoring tools by onsite operations staff 24 hours a day, 7 days a week. Documented procedures exist for the escalation and resolution of performance and processing availability issues.
ネッ トワークのパフォーマンスとシステムの処理は、システム監視ツールを使用してオンサイト運用スタッフによって24時間、週7日監視される。パフォーマンス と可用性の問題のエスカレーションと解決のためのドキュメント化された手順が存在する。
Intrusion detection and other tools are used to identify, log, and report potential security breaches and other incidents. The system notifies the security administration team and/or the network administrator via e-mail and pager of potential incidents in progress.
侵入検知お よびその他のツールは識別するため、記録、潜在的なセキュリティ侵害や他の事件の報告に使用される。システムはEメールとポケベルを介してセキュリティ管 理チームと(または)ネットワーク管理者へ潜在的事件が進行中であることを注意喚起する。
Incident logs are monitored and evaluated by the information security team daily.
Documented incident identification and escalation procedures are approved by management.

事件の記録は情報セキュリティチームにより毎日監視され評価される。ドキュ メント化された事件の識別とエスカレーション手順は経営者によって承認される。
Network performance, system availability, and security incident statistics and comparisons to approved targets are accumulated and reported to the IT steering committee monthly.
ネットワークパフォーマンス、システムの可用性、セキュリ ティ事件統計と目的を承認するための比較は蓄積され、毎月IT運営委員会へ毎月報告される。
System performance and capacity analysis and projections are completed annually as part of the IT planning and budgeting process.
システムパ フォーマンスと許容量の分析と予想は毎年のIT計画と予算策定過程の一部として完成する。

2010年6月4日金曜日

基準 3.8

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.8です。

Criteria 3.8
基準 3.8
Encryption or other equivalent security techniques are used to protect user authentication information and the corresponding session transmitted over the Internet or other public networks.
暗号ま たは他の同等のセキュリティテクニックがユーザー認証情報保護とインターネットや他の公衆ネットワークから送信された通信のセッションに使用される。

Illustrative Controls
統制の実例
The entity uses 128-bit secure sockets layer (SSL) encryption for transmission of private or confidential information over public networks, including user ID and password. Users are required to upgrade their browser to the most current version tested and approved for use by the security administration team to avoid possible security problems.
ユーザーIDとパスワードを含むプライベートまたは機密の情報を公衆ネットワーク越しに送信する場合は128ビットのセ キュアソケットレイヤー(SSL)暗号を使用する。
Account activity, subsequent to successful login, is encrypted through a 128-bit SSL session. Users are logged out on request (by selecting the “Sign-out” button on the Web site) or after 10 minutes of inactivity.
ログイン成功 後のアカウントの通信は128ビットSSLセッションで暗号化される。ユーザーはリクエスト(「サインアウト」ボタンをウェブサイトで選択する)するか非 アクティブから10分後にログアウトされる。

2010年6月3日木曜日

基準 3.7

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.7です。

Criteria 3.7
基準 3.7
Procedures exist to protect against infection by computer viruses, malicious codes, and unauthorized software.
コンピューターウィルス、悪意のコード、未承認のソフトウェアの感染に対する 防御手順が存在する。

Illustrative Controls

統制の実例
In connection with other security monitoring, the security administration team participates in user groups and subscribes to services relating to computer viruses.
他のセキュリティ監視とのつながりの中でセキュリティ管理チームはユーザーグループに参加し、コンピューターウィルス関 連のサービスに申し込む。
Antivirus software is in place, including virus scans of incoming email messages. Virus signatures are updated at least weekly.
受信メールのウィルススキャンを含んだアンチウィルスソフトウェアが導入されてい る。ウィルス署名は少なくとも週毎に更新されている。
Any viruses discovered are reported to the security team and an alert is created for all users notifying them of a potential virus threat.
アンチウィルスにより発見さ れたものはセキュリティチームに報告され、全てのユーザーに対してウィルスの潜在的脅威への注意喚起の警告が作成される。

2010年6月2日水曜日

基準 3.6

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.6です。

Criteria 3.6
基準 3.6
Procedures exist to protect against unauthorized logical access to the defined system.
定義されたシステムへの未承認の論理的アクセスに対する防御手順が存在する。

Illustrative Controls
統制の実例
Login sessions are terminated after three unsuccessful login attempts.
ログインセッションはログ インの試みが三回不成功であると終了される。
Terminated login sessions are logged for follow-up by the security administrator.
終了された ログインセッションはセキュリティー管理者によるフォローアップのために記録される。
Virtual private networking (VPN) software is used to permit remote access by authorized users. Users are authenticated by the VPN server through specific “client” software and user ID and passwords.
バー チャルプライベートネットワーク(VPN)ソフトウェアは権限のあるユーザーによるリモートアクセスを許可するために使用される。ユーザーは特定のクライ アントソフトウェアとユーザーIDとパスワードを通じてVPNサーバーによって認証される。
Firewalls are used and configured to prevent unauthorized access.
ファ イアウォールは未承認のアクセスを防ぐために使用・設定される。
Firewall events are logged and reviewed daily by the security administrator.
ファ イアウォールの出来事は記録され毎日セキュリティ管理者によって確認されます。
Unneeded network services (for example, telnet, ftp, and http) are deactivated on the entity’s servers. A listing of the required and authorized services is maintained by the IT department. This list is reviewed by entity management on a routine basis for its appropriateness for the current operating conditions.
不要なネットワークサービス(例えば、telnet, ftp, http)はサーバー上で使用不可にされる。要求され承認されたサービスのリストはIT部門により保守される。このリストは現在の動作条件 の妥当性に基づき経営者により定期的に確認される。
Intrusion detection systems are used to provide continuous monitoring of the entity’s network and early identification of potential security breaches.
侵入検知システムは継続的なネットワーク監視と早期の潜在的セキュリティ侵害の特定のために使用される。
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. Results and recommendations for improvement are reported to management.
第三者と定期的なセキュ リティのレビューと脆弱性評価を実施する契約を結ぶ。結果と改善提言は経営者 へ報告される。

2010年6月1日火曜日

基準 3.5

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.5です。

Criteria 3.5
基準 3.5 
Procedures exist to restrict physical access to the defined system including, but not limited to, facilities, backup media, and other system components such as firewalls,
routers, and servers.

施 設、バックアップメディア、ファイアウォール、ルーター、サーバーといった他のシステムコンポーネントを含む(が限定されない)定義されたシステムへの物 理的アクセスを制限する手順が存在する。

Illustrative Controls

統制の実例
Physical access to the computer rooms, which house the entity’s IT resources, servers, and related hardware such as firewalls and routers, is restricted to authorized individuals by card key systems and monitored by video surveillance.
IT資源、サーバー、ファイアウォールや ルーターといった関連するハードウェアのあるコンピュータールームへの物理的アクセスはカードキーシステムやビデオ監視によりモニタされることによって権 限のある個人に制限される。
Physical access cards are managed by building security staff. Access card usage is logged. Logs are maintained and reviewed by building security staff.
物理的アクセ スカードはビルセキュリティスタッフにより管理される。アクセスカードの利用は記録される。記録は保持され、ビルセキュリティスタッフにより確認される。
Requests for physical access privileges to the entity’s computer facilities require the approval of the manager of computer operations.
コンピュータ施設への物理的なアクセス権限の要求は、コ ンピュータの操作の管理者の承認が必要である。
Documented procedures exist for the identification and escalation of potential security breaches.
識別および潜在的なセキュリティ侵害のエスカ レーションの文書化された手順が存在する。
Offsite backup data and media are stored at service provider facilities.
Access to offsite data and media requires the approval of the manager of computer operations.

オフサイトバックアップデータと媒体はサービスプロバイダの施設に保管される。
オフサイトデータと媒体へのアクセスには コンピューターの操作のマネージャーの承認が必要である。

2010年5月31日月曜日

e. Restriction of access to system configurations, superuser functionality, master passwords, powerful utilities, and security devices

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表のe. Restriction of access to system configurations, superuser functionality, master passwords, powerful utilities, and security devicesです。

e. Restriction of access to system configurations, superuser functionality, master passwords, powerful utilities, and security devices:
e. システム設定やスーパーユーザー機能、マスターパスワード、強力なユーティリティー、そしてセキュリティデバイスへのアクセス制限:
  • Hardware and operating system configuration tables are restricted to appropriate personnel.
  • ハードウェアとオペレーティングシス テムの設定テーブルは適切な従業員に制限される。
  • Application software configuration tables are restricted to authorized users and under the control of application change management software.
  • アプリケーションソフトウェアの設定テーブルは承認されたユーザーに制限され、アプリケーション変更管理ソフトウェアの コントロール下に置かれる。
  • Utility programs that can read, add, change, or delete data or programs are restricted to authorized technical services staff. Usage is logged and monitored by the manager of computer operations.
  • データやプ ログラムを読むこと、追加、変更または消去できるユーティリティプログラムは権限のあるテクニカルサービススタッフに制限される。使用状況は記録され、コ ンピューターオペレーションのマネージャーによって監視される。
  • The information security team, under the direction of the CIO, maintains access to firewall and other logs, as well as access to any storage media. Any access is logged and reviewed quarterly.
  • CIOの 指示のもと、情報セキュリティチームは、あらゆるストレージへのアクセスと同様に、ファイアウォールと他の記録の保守を行う。あらゆるアクセスは記録さ れ、四半期ごとに確認される。
  • A listing of all master passwords is stored in an encrypted database and an additional copy is maintained in a sealed envelope in the entity safe.
  • 全てのマスターパスワードは暗号化されたデータベースに格納され、別途コピーが封緘され金庫に保管される。

2010年5月28日金曜日

d. The process to grant system access privileges and permissions

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表のd. The process to grant system access privileges and permissionsです。

d. The process to grant system access privileges and permissions:
d. システムのアク セス権限およびアクセス許可を付与するプロセス:
  • All paths that allow access to significant information resources are controlled by the access control system and operating system facilities. Access requires users to provide their user ID and password. Privileges are granted to authenticated users based on their user profiles.
  • 重要な情報資源へのアクセスを許可する全てのパスはアクセスコントロールシステムとオペレーティングシステム設備によ り制御される。特 権は認証され たユーザーのユーザープロファイルに基づいて付与される。
  • The login session is terminated after three unsuccessful login attempts. Terminated login sessions are logged for follow-up.
  • ログインセッションは3回ログインを試みて失敗すると終了される。終了されたログインセッションはフォローアップのために記録される。

2010年5月27日木曜日

c. Changes and updates to user profiles

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表のc. Changes and updates to user profilesです。

c. Changes and updates to user profiles:
c. ユーザープロファイルの変更と更新:
  • Changes and updates to self-registered customer accounts can be done by the individual user at any time on the entity’s Web site after the user has successfully logged onto the system. Changes are reflected immediately.
  • 自己登録顧客アカウントの変更と更新は、ログオンに成功後、個々のユーザーがいつでも ウェブサイトで行うことができる。
  • Unused customer accounts (no activity for six months) are purged by the system.
  • 利用されない顧客アカウント(6ヶ月以上活動なし)はシステムによって削除される。
  • Changes to other accounts and profiles are restricted to the security administration team and require the approval of the appropriate line-of-business supervisor or customer account manager.
  • 他のアカウントとプロファイルへの変更はセキュリティ管理チームに限定され、適切なビジネスラインの管理者や顧客のアカウ ントマネージャの承認が必要であ る。
  • Accounts for terminated employees are deactivated upon notice of termination being received from the human resources team.
  • 雇用が終了した従業員のアカウントは人事チームからの終了通知に基づき無効化される。

2010年5月26日水曜日

b. Identification and authentication of users

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表のb. Identification and authentication of usersです。

b. Identification and authentication of users:
b. ユーザーの識別と認証:
  • Users are required to log on to the entity’s network and application systems with their user ID and password before access is granted. Unique user IDs are assigned to individual users. Passwords must contain at least characters, one of which is nonalphanumeric. Passwords are case sensitive and must be updated every 90 days.
  • ユー ザーはアクセスが認められる前に、ユーザーIDとパスワードでのネットワークとアプリケーションシステムへのログオンを求められる。ユニークユーザーIDが個人ユーザーに割り当てられる。パスワードは少なくとも6文字を含み、内1文字は英数字以外でなければならない。パスワードは大文字と小文字が区別され、90日毎に更新されなければならない。

2010年5月25日火曜日

a. Registration and authorization of new users

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表のa. Registration and authorization of new usersです。

Illustrative Controls
統制の実例

a. Registration and authorization of new users:
a. 新規ユーザーの登録と認証:
  • Customers can self-register on the entity’s Web site, under a secure session in which they provide new user information and select an appropriate user identification (ID) and password. Privileges and authorizations associated with self-registered customer accounts provide specific limited system functionality.
  • 顧客は ウェブサイトにて、新規ユーザーに関する情報が供給され、専用のユーザー識別(ID)とパスワードを選べる安全なセッションのもとで、自身で登録すること ができる。自己登録の顧客アカウントは特定の限定された権利と権限が与えられる。
  • The ability to create or modify users and user access privileges (other than the limited functionality “customer accounts”) is limited to the security administration team.
  • ユー ザーを新規作成したり変更する能力とユーザーアクセスの権利(機能限定された"顧客アカウント"以外の) はセキュリティ管理チームに限定される。
  • The line-of-business supervisor authorizes access privilege change requests for employees and contractors. Customer access privileges beyond the default privileges granted during self-registration are approved by the customer account manager. Proper segregation of duties is considered in granting privileges.
  • 基幹業務管理者 が従業員や請負業者のためのアクセス権限の変更要求を承認します。自己登録時に付与されたデフォルトの権限を超えた顧客のアクセス権限は、顧客アカウントのマネージャによって承認される。権利を認めるには職務の分離が考慮される。

2010年5月21日金曜日

基準3.4

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.4です。

Security-related criteria relevant to the system’s availability
システムの可用性に関連したのセキュリティ関係の基準

Criteria 3.4
Procedures exist to restrict logical access to the defined system including, but not limited to, the following matters:
a. Registration and authorization of new users.
b. Identification and authentication of users.
c. The process to make changes and updates to user profiles.
d. The process to grant system access privileges and permissions.
e. Restriction of access to system configurations, superuser functionality,
master passwords, powerful utilities, and security devices (for example, firewalls).

基 準 3.4
以下の事柄を含む(がそれらに限定されない)定義された システムへの論理的アクセスを制限する手順が存在する。
a. 新規ユーザーの登録と認証
b. ユーザーの識別と認証
c. ユーザープロファイルの変更と更新手順
d. システムのアクセス権限およびアクセス許可の付与手順
e. システム設定、スーパーユーザー機能、マスターパスワード、強力なユーティリティ、セキュリティデバイス(例:ファイアウォール)へのアクセス制限

2010年5月20日木曜日

基準3.3

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.3です。
Criteria 3.3
Procedures exist to provide for the integrity of backup data and systems maintained to support the entity’s defined system availability and related security policies.
基準 3.3
バックアップデーターの完全性と定義されたシステムの可用性をサポートするシステム保 守と関連するセキュリティーポリシーを供給するための手順が存在する。

Illustrative Controls 
統制の実例
Automated backup processes include procedures for testing the integrity of the backup data.
自動バックアッププロセスにはバックアップデーターの完全性のテストの手順が含まれる。

Backups are performed in accordance with the entity’s defined backup strategy, and usability of backups is verified at least annually.
Backup systems and data are stored offsite at the facilities of a thirdparty service provider.

バックアップはバックアップ戦略にしたがって行われ、 バックアップの有用性は少なくとも年次に検証される。
バックアップシステムとデー ターは第三者のサービス提供者の施設においてオフサイトで保管される。

Under the terms of its service provider agreement, the entity performs an annual verification of media stored at the offsite storage facility. As part of the verification, media at the offsite location are matched to the appropriate media management system. The storage site is reviewed biannually for physical access security and security of data files and other items.
サービス提供者との合意条件のもとでオフサイト倉庫施設に保管さ れた媒体の年次検証を行う。検証の一環として、オフサイトの倉庫施設に保管されている媒体は 適切な媒体管理システムと照合される。ストレージサイトは隔年ごとに物理的なアクセスセキュ リティとデーターファイルや他のアイテムのセキュリティを確認される。

Backup systems and data are tested as part of the annual disaster recovery test.
バックアップシステムとデーターは年次災害復旧テストの一環としてテストされる。

2010年5月19日水曜日

基準3.2(下)

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.2(下)です。
The disaster recovery plan defines the roles and responsibilities and identifies the critical information technology application programs, operating systems, personnel, data files, and time frames needed to ensure high availability and system reliability based on the business impact analysis.
災 害復旧計画は、役割と責任を定義し、重要な情報技術のアプリケーションプログラム、オペレーティングシステム、従業員、データファイル、ビジネス影響度分析に基づいた高可用性とシステムの信頼性を確 保するため必要なタイ ムフレームを特定する
The business continuity planning (BCP) coordinator reviews and updates the business impact analysis with the lines of business annually.
事業継続計画(BCP)コーディネーターは毎年ビジネスラインのビジネス影響度分析を確認し更新する。
Disaster recovery and contingency plans are tested annually in accordance with the entity’s system availability policies. Testing results and change recommendations are reported to the entity’s management committee.
災害復旧と危機管理計画は毎年システム可用性計画に従いテストされる。テストの結果と変更提言は経営委員会へ報告され る。
The entity’s management committee reviews and approves changes to the disaster recovery plan.
経営委員 会は災害復旧計画の変更を確認し承認する。
All critical personnel identified in the business continuity plan hold current versions of the plan, both onsite and offsite. An electronic version is stored offsite.
事業継続計画で特定された全ての重要な従業員は計画の最新版をオンサイトとオフサイトで持つ。電子版はオフサイトに保 管される。

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.3です。

2010年5月18日火曜日

基準3.2(上)

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.2(上)です。

Criteria
3.2

Procedures exist to provide for backup, offsite storage, restoration, and disaster recovery consistent with the entity’s defined system availability and related security policies.
基準 3.2
定義されたシステムの可用性と関連するセキュリティポリシーと一致した、バックアップ、オフサイトストレージ、復旧そ して災害復旧手順が存在する。

Illustrative Controls
統制の実例
Management has implemented a comprehensive strategy for backup and restoration based on a review of business requirements. Backup procedures for the entity are documented and include redundant servers, daily incremental backups of each server, and a complete backup of the entire week’s changes on a weekly basis. Daily and
weekly backups are stored offsite in accordance with the entity’s system availability policies.

経営者は、ビジネス要件の評価に基づいて、バッ クアップと復元のための包括的な戦略を実装する。バックアップ手順が記載されて、冗長サーバー、各サー バーの毎日の増分バックアップ、および週単位で1週間の変更の完全なバックアップが含まれる。毎日および毎週のバックアップはエンティティのシステム の可用性ポリシーに応じてオフサイトに格納されます。
Disaster recovery and contingency plans are documented.
災害復旧及び危機管理計画は文書化されてい る。

2010年5月17日月曜日

基準3.1(下)

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.1(下)です。

Management maintains measures to protect against environmental factors (for example, fire, flood, dust, power failure, and excessive heat and humidity) based on its risk assessment. The entity’s controlled areas are protected against fire using both smoke detectors and a fire suppression system. Water detectors are installed within
the raised floor areas.

経営はリスクアセスメントに基づき、環境要因(例えば、火災、洪水、ほこり、電源断、過度の暑さと湿度)から保護する手法を維持する。統制された区域は煙探知機と消火システムの両方により火災から保護される。水探知機は上げ床の区域に設置される。

The entity site is protected against a disruption in power supply to the processing environment by both uninterruptible power supplies (UPS) and emergency power supplies (EPS). This equipment is tested semiannually.
現場は処理環境への電源供給断から無停電電源装置(UPS)と緊急電源(EPS)によって保護されている。
Preventive maintenance agreements and scheduled maintenance procedures are in place for key system hardware components.
予防保守合意と計画的保守手続は重要なシステムハードウェアコンポーネントについて存在する。
Vendor warranty specifications are complied with and tested to determine if the system is properly configured.
ベンダーの保証仕様は、システムが適切に 構成されているかどうかを決定するために遵守されテストされる。
Procedures to address minor processing errors, outages, and destruction of records are documented.
マイナーな処理エラーや停電、記録の破壊の処理手順は記録される。
Procedures exist for the identification, documentation, escalation, resolution, and review of problems.
認証、文書化、エスカレーション、決議そして問題の確認の手順が存在する。
Physical and logical security controls are implemented to reduce the opportunity for unauthorized actions that could impair system availability.
システムの可用性を損なう可能性のある不正行為の機会を減らすための物理的・論理的セキュリティ統制が実装される。

2010年5月15日土曜日

基準3.0、3.1(上)

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.0、3.1(上)です。 

Criteria 3.0
Procedures: The entity uses procedures to achieve its documented system availability objectives in accordance with its defined policies.
基準 3.0
手順:定義されたポリシーに基づいて、文書化されたシステムの可用性の目標を達成するための手順を使用する。

Criteria 3.1
Procedures exist to protect the system against potential risks (for example, environmental risks, natural disasters, labor disputes, and routine operational errors and omissions) that might disrupt system operations and impair system availability.
基準 3.1
システムの操作を混乱させたりシステムの可用性を損なうかもしれない潜在的リスク(例えば、環境リスク、天災、労働争 議、日常の操作ミスや怠慢)からシステムを守る手順が存在する。

Illustrative Controls
統制の実例
A risk assessment is prepared and reviewed on a regular basis or when a significant change occurs in either the internal or external physical environment. Threats such as fire, flood, dust, power failure, excessive heat and humidity, and labor problems have been considered.
リスクアセスメントが準備され定 期的または内部または外部両方の物理環境に重要な変更が発生した際に確認される。火災、洪水、ほこり、電源障害、過度の暑さと湿度、労働問題の脅威が考慮 される。

2010年5月13日木曜日

基準2.5

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準2.5です。

Criteria 2.5
Changes that may affect system availability and system security are communicated to management and users who will be affected.
基準 2.5
システムの可用性とシステムセ キュリティに影響する変更は経営者と影響を受けるであろうユーザーに伝達される。

Illustrative Controls
Changes that may affect system availability, customers and users and their security obligations, or the entity’s security commitments are highlighted on the entity’s Web site.
Changes that may affect system availability and related system security are reviewed and approved by affected customers under the provisions of the standard services agreement before implementation of the proposed change.
Planned changes to system components and the scheduling of those changes are reviewed as part of the monthly IT steering committee meetings.
Changes to system components, including those that may affect system security, require the approval of the manager of network operations and/or the security administration team, before implementation.
There is periodic communication of system changes, including changes that affect availability and system security.
Changes that affect system security are incorporated into the entity’s ongoing security awareness program.

統制の実例
システムの可用性や顧客およびユーザーに影響する変更と彼らのセキュリティ義務または企業のセキュリティの約束事項は ウェブサイトで強調される。
システムの可用性と関連するシステムセキュリティに影響するおそれのある変更は影響を受ける顧客によって、提案された変 更の実装前に、標準的なサービス契約の規定のもと確認され承認される。
システムコンポーネントへの計画された変更とそれらの変更のスケジュールは月例IT運営委員 会の中で確認される。
システムセキュリティに影響するものも含めたシステムコンポーネントへの変更は、実装前に、ネットワークオペレーション の管理者と/またはセキュリティ管理チームの承認を求める。
可用性とシステムセキュリティに影響するものを含めたシステム変更の定期的な伝達が存在する。
システムセキュリティに影響する変更は継 続的なセキュリティ注意喚起プログラムに組み込まれる。

2010年5月12日水曜日

基準2.4

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準2.4です。

Criteria 2.4
The process for informing the entity about system availability issues and breaches of system security and for submitting complaints is communicated to authorized users.

基準 2.4
企業へのシステムの可用性に関することやシステムセキュリティの侵害を知らせるプロセスと苦情の提出プロセスは権限のあ るユーザーに伝達される。

Illustrative Controls
The process for customers and external users to inform the entity of system availability issues, possible security breaches, and other incidents is posted on the entity’s Web site and/or is provided as part of the new user welcome kit.
The entity’s user training program includes modules dealing with the identification and reporting of system availability issues, security breaches, and other incidents.
The entity’s security awareness program includes information concerning the identification of possible security breaches and the process for informing the security administration team.
Documented procedures exist for the identification and escalation of system availability issues, security breaches, and other incidents.

統制の実例
顧客や外部のユーザーへ、システムの可用性関連、潜在的なセキュリティの侵害、その他事故について案内するためのプロ セスはウェブサイトおよび/あるいは新ユーザー受入キットに含まれる。
ユーザー訓練プログラムには、システムの可用性関連の認識と報告、セキュリティの侵害、その 他事故を取り扱うモジュールが含まれる。
セキュリティ意識向上プログラムには、潜在的なセキュリティ侵害の認識とセキュリティ管理チームへの通知プロセスに関し た情報が含まれる。
シ ステムの可用性に関することやセキュリティ侵害、その他事故の認識とエスカレーションの明文化された手続が存在する。

2010年5月11日火曜日

基準2.3

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準2.3です。

Criteria 2.3
Responsibility and accountability for the entity’s system availability and related security policies and changes and updates to those policies are communicated to entity personnel responsible for implementing them.
基準 2.3
システムの可用性と関連するセキュリティポリシーの責務と説明責任、そして、それらのポリシーの変更と更新は、それらを 実装する責任のある社員に伝達される。

Illustrative Controls

The network operations team is responsible for implementing the entity’s availability policies under the direction of the chief information officer (CIO). The security administration team is responsible for implementing the related security policies.
The network operations team has custody of and is responsible for the day-to-day maintenance of the entity’s availability policies, and recommends changes to the CIO and the IT steering committee. The security administration team is responsible for the related security policies.
Availability and related security commitments are reviewed with the customer account managers as part of the annual IT planning process.
統制の実例
ネットワークオペレーションチームは最高情報責任者(CIO)の指示のもと、可用性のポリシーの実装に責任を持つ。セ キュリティ管理チームは関連するセキュリティポリシーの実装に責任を持つ。
ネットワークオペレーションチームは可用性ポリシーの日々の保守を監督し責任を持つ。またCIOとIT運営委員会に対して変更を提言する。セキュリティ管理 チームは関連するセキュリティポリシーに責任を持つ。
可用性と関連するセキュリティの約束は顧客アカウント管理者により年次IT計画策定プロセスの一部として確認される。

2010年5月7日金曜日

基準 2.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 2.2です。
Criteria 2.2
The availability and related security obligations of users and the entity’s availability and related security commitments to users are communicated to authorized users.
基準 2.2
ユーザーの可用性と関連するセキュリティ義務、企業の可用性と関連するセキュリティのユーザーへの約束は承認された ユーザーへ伝達される。

Illustrative Controls
統制の実例
The entity’s system availability and related security commitments and required system availability and related security obligations of its customers and other external users are posted on the entity’s Web site and/or as part of the entity’s standard services agreement. Service-level agreements are reviewed with the customer annually.
企業のシステムの可用性と関連するセキュリ ティの約束と顧客や外部のユーザーに要求されるシステムの可用性と関連するセキュリティ義務は企業のウェブサイトや(or または)標準的なサービス合意に記載される。サービスレベル合意は顧客によって毎年確認される。

For its internal users (employees and contractors), the entity’s policies relating to system availability and security are reviewed with new employees and contractors as part of their orientation, and the key elements of the policies and their impact on the employee are discussed. New employees must sign a statement signifying that they have read, understand, and will follow these policies. Each year, as part of their performance review, employees must reconfirm their understanding of and compliance with the entity’s policies.
Obligations of contractors are detailed in their contract.

インターネットユーザー(従業員と請負者)にとってシステムの可用性とセキュリティに関するポリシーは新規雇用者と請 負者にオリエンテーションの一環として確認される。そしてポリシーの鍵となる要素とそれらの従業員への影響について議論される。新規雇用者はこれらのポリ シーを読み終え、理解し、従うことを確認した声明文に署名する。毎年、パフォーマンスレビューの一部として従業員はポリシーの理解と遵守を再確認する。
請負人の義務は契約に詳述される。
A security awareness program has been implemented to communicate the entity’s IT security policies to employees.
セキュリティ喚起プログラムは従業員への ITセキュリティポリシーの伝達に実装される。
The entity publishes its IT security policies on its corporate intranet.
ITセキュリ ティポリシーは社内のイントラネットに掲出される。