公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年3月17日水曜日

基準 2.2

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回は基準2.2です。


Criteria 2.2
The security obligations of users and the entity’s security commitments to users are communicated to authorized users.

基準 2.2ユーザーのセキュリティ義務とユーザーに対するセキュリ ティ責任は承認されたユーザーに伝達される。

Illustrative Controls
The entity’s security commitments and required security obligations of its customers and other external users are posted on the entity’s Web site and/or as part of the entity’s standard services agreement.
For its internal users (employees and contractors), the entity’s policies relating to security are reviewed with new employees and contractors as part of their orientation, and the key elements of the policies and their impact on the employee are discussed. New employees must sign a  statement signifying that they have read, understand, and will follow these policies. Each year, as part of their performance review, employees must reconfirm their understanding of and compliance with the entity’s security policies. Security obligations of contractors are detailed in their contracts.
A security awareness program has been implemented to communicate the entity’s IT security policies to employees.
The entity publishes its IT security policies on its corporate intranet.

統制の実例
顧客や他の外部のユーザーのセ キュリティ責任と要求されるセキュリティ義務は、Webサイトまたは標準サービス合意の一部 あるいはその両方を用いて通知される。
内部利用者(従業員と契約者)のために、セ キュリティに関連するポリシーは新しい従業員と契約者によりオリエンテーションの一部として学習される。そして、ポリシーの鍵となる要素とそれらの従業員 への影響は話し合われる。新規の従業員は彼らがこれらのポリシーを読み終え、理解し、従うことを示す声明書に署名しなければならない。
毎年、業績評価の一部として、従業員は セキュリティポリシーを理解し、遵守していることを再確認しなければならない。
契約者のセキュリティ義務は契約書に詳述される。
セキュリティ喚起プログラムは従業員への ITセキュリティポリシーの伝達の中に実装されている。
ITセキュリティポリシーはイントラネット上に掲載されている。

0 件のコメント:

コメントを投稿