基準 1.3

今回は、「安全性の原則と基準の表」の1.0 システムの方針を定義し文書化するの勝手訳その３です。

Criteria 1.3
Responsibility and accountability for the entity’s system security policies, and changes and updates to those policies, are assigned. 
基準 1.3
シス テムのセキュリティポリシー、それらのポリシーの変更とアップデートとの責務と説明責任が割り当てられる。

Illustrative Controls
Management has assigned responsibilities for the maintenance and enforcement of the entity security policy to the chief information officer (CIO). Others on the executive committee assist in the review, update, and approval of the policy as outlined in the executive committee handbook.
Ownership and custody of significant information resources (for example, data, programs, and transactions) and responsibility for establishing and maintaining security over such resources is defined.
統制の実例
経営者は最高情報責任者にセ キュリティポリシーの維持と施行の責任を割り当てる。他の執行役はレビューを補佐し、アップ デートし、執行委員会の手引きの概説としてのポリシーを承認する。重要な情報源（例えば、データ、プログラム、そして取引）とそれらのセキュリティの確立 と維持の責任の所有権と管理は定義される。

次回から基準 2.0に入ります。