1.0 Policies: The entity defines and documents its policies for the security of its system.
1.0 ポリシー:システムの方針を定義し文書化する
Criteria 1.1
The entity’s security policies are established and periodically reviewed
and approved by a designated individual or group.
基準 1.1
セキュリティーポリシーは決められた個人またはグループによって定期的にレビューされ改善される。
Illustrative Controls (fn 4)
(fn 4) Illustrative controls are presented as examples only. It is the practitioner’s responsibility to identify and document the policies, procedures, and controls actually in place at the entity under examination.
The entity’s documented systems development and acquisition process
includes procedures to identify and document authorized users of the system and their security requirements.
User requirements are documented in service-level agreements or other documents.
The security officer reviews security policies annually and submits proposed changes for approval by the information technology (IT) standards committee.
統制の実例 (fn 4)
(fn 4) 統制の実例は例示のみとして提示される。実際に試用するポリシーや手続そして統制を特定し文書化することは実務家の責任である。
ドキュメ ント化されたシステム開発と取得のプロセスには、システムとそれらの安全性の要求事項について承認されたユーザーであることを特定し記録する手続を含む。
ユーザーの要求事項はいくつかのサービルレベル合意書または他の文書に記録される。
セキュリティーオフィサーは毎年セキュリ ティーポリシーをレビューし、情報技術(IT)標準委員会による改善のための変更提案を提示する。
このように、基準と統制の実例が対になって解説されていきます。
0 件のコメント:
コメントを投稿