基準 2.3

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回は基準2.3です。
 

Criteria 2.3
Responsibility and accountability for the entity’s system security policies and changes and updates to those policies are communicated to entity personnel responsible for implementing them.
基準 2.3システムセキュリティポリシーとそれらのポリシーの変更と更新の責務と説明責任は、実装責任のある部署へ伝達される。

Illustrative Controls
The security administration team is responsible for implementing the entity’s security policies under the direction of the CIO.
The security administration team has custody of and is responsible for the day-to-day maintenance of the entity’s security policies, and recommends changes to the CIO and the IT steering committee.
統制 の実例
セキュリティ管理チームはCIOの指示のもと、セキュリティポリシー を実装する責任がある。
セキュリティ管理チームは日々のセキュリティポリシーの維持の管理権限と責任を持つ。また、CIOとIT運営委員会への 改善を推奨する。