引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回は基準2.5です。
Criteria 2.5
Changes that may affect system security are communicated to management
and users who will be affected.
基準 2.5
システムセキュリティに影響するおそれのある変更は、影響を受ける経営者とユーザーへ伝達される。
Illustrative Controls
Changes that may affect customers and users and their security obligations or the entity’s security commitments are highlighted on the entity’s Web site.
Changes that may affect system security are reviewed and approved by affected customers under the provisions of the standard services agreement before implementation of the proposed change.
Planned changes to system components and the scheduling of those changes are reviewed as part of the monthly IT steering committee meetings.
Changes to system components, including those that may affect system security, require the approval of the security administrator before implementation.
There is periodic communication of changes, including changes that affect system security.
Changes that affect system security are incorporated into the entity’s ongoing security awareness program.
統制の実例
顧客とユーザーに影響する変更とセキュリティ義務またはセキュリティの約束はWebサイトで強調されなければならな い。
システムセ キュリティに影響するおそれのある変更は、提案された変更が実装される前に、提供される標準的なサービス合意の規定の影響を受ける顧客によって吟味され、 承認される。
計画されたシステム構成とへの変更とそれらの変更予定は月例IT運営委 員会のミーティングの一部として吟味される。
システムセキュリティに影響するおそれのあるものを含むシステム構成への変更は実装前に、セキュリティ管理者の承認が要 求される。
システ ムセキュリティに影響のあるものを含む変更の伝達が定期的にある。
システムセキュリティに影響のある変更は継続的なセキュリティ喚起プログラムに組み入れられる。
公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。
0 件のコメント:
コメントを投稿