公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年3月24日水曜日

基準 3.0

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回は基準3.0です。 


Criteria 3.0
Procedures: The entity uses procedures to achieve its documented system security objectives in accordance with its defined policies.

基準 3.0手順:定義されたポリシーに従い、明文化されたシステムセキュリティの目的達成のために手順を使用する。

Criteria 3.1
Procedures exist to restrict logical access to the defined system including,
but not limited to, the following matters:
a. Registration and authorization of new users.
b. Identification and authentication of users.
c. The process to make changes and updates to user profiles.
d. The process to grant system access privileges and permissions.
e. Distribution of output restricted to authorized users.
f. Restriction of logical access to offline storage, backup data, systems,
and media.
g. Restriction of access to system configurations, superuser functionality,
master passwords, powerful utilities, and security devices (for example, firewalls).

基準 3.1手順は以下の事柄を含む(が以下の事柄に限定されない)定義されたシステムの制限された論理 的アクセスにより成り立つ。
a. 新規ユーザーの登録と承認
b. ユーザーの識別と認証
c. ユーザープロフィールの変更と更新の過程
d. システムアクセス権限との許可の付与の過程
e. アウトプットの配布は許可されたユーザーに制限
f. オフラインストレージ、バックアップデータ、システムそして媒体への論理的アクセスの制限
g. システム設定や特権ユーザー機能、マスターパスワード、強力なユーティリティ、そしてセキュリティデバイス(例:ファイアーウォール)への論理的アクセス の制限

0 件のコメント:

コメントを投稿