今回は、「安全性の原則と基準の表」の1.0 システムの方針を定義し文書化するの勝手訳その2です。
Criteria 1.2
The entity’s security policies include, but may not be limited to,
the following matters:
a. Identification and documentation of the security requirements of authorized users.
b. Allowing access, the nature of that access, and who authorizes such access.
c. Preventing unauthorized access.
d. The procedures to add new users, modify the access levels of existing users, and remove users who no longer need access.
e. Assignment of responsibility and accountability for system security.
f. Assignment of responsibility and accountability for system changes and maintenance.
g. Testing, evaluating, and authorizing system components before implementation.
h. Addressing how complaints and requests relating to security issues are resolved.
i. The procedures to handle security breaches and other incidents.
j. Provision for allocation for training and other resources to support its system security policies.
k. Provision for the handling of exceptions and situations not specifically addressed in its system security policies.
l. Provision for the identification of, and consistency with, applicable
laws and regulations, defined commitments, service-level agreements, and other contracts.
基準 1.2
セキュリティーポリシーは以下のものを含 むがそれらに限定されるものではない:
a.承認されたユーザーのセキュリティ要件の確認と記録
b.アクセス許可、アクセスの性質、そして、誰がそのようなアクセスを 認めたか
c.未承 認のアクセスを防ぐ
d.新規にユーザーとして加わる手続、既存ユーザーのアクセスレベルの変更、そして、もはやアクセスの必要のないユー ザーの削除
e.システムのセキュリティの責務と説明責任の割り当て
f.システムの変更と維持の責務と説明責任の割り当て
g.実装前のシステムコンポーネントの試験、評価、そして認証
h. どのようにしてセキュリティに関する不平と要求が解決されたかの説明
i.セキュリティ違反や他の事件を取り扱う手順
j.システムセキュリティポリシーをサポートする訓練とリソースの割り当ての提供k.例外やシステムセキュリティポリシーに特に述べられていないことについての取扱いの提供
l.適用される法律や規則、確約、サービスレベルに関する合意、その他契約に対する一致や一貫性の提供
Illustrative Controls
The entity’s documented security policies contain the elements set
out in criterion 1.2.
統制の実例
文書化されたセキュリティポリシーは基準1.2のからの要素一式を含む
…基準の方が統制の実例よりも細かい気がします。
公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。
0 件のコメント:
コメントを投稿