基準 3.2

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.2です。


Criteria 3.2
Procedures exist to restrict physical access to the defined system including, but not limited to, facilities, backup media, and other system components such as firewalls, routers, and servers.
基準 3.2
定義されたシステムに含まれる（が限定されない）、設備、 バックアップ媒体、そしてファイアウォールやルーター、サーバーのような他のシステムコンポーネントへの物理的アクセス制御の手順が存在する。

Illustrative Controls
Physical access to the computer rooms, which house the entity’s IT resources, servers, and related hardware such as firewalls and routers, is restricted to authorized individuals by card key systems and monitored by video surveillance.
Physical access cards are managed by building security staff. Access card usage is logged. Logs are maintained and reviewed by building security staff.
Requests for physical access privileges to the entity’s computer facilities require the approval of the manager of computer operations.
Documented procedures exist for the identification and escalation of potential security breaches.
Offsite backup data and media are stored at service provider facilities.
Access to offsite data and media requires the approval of the manager of computer operations.
統制の実例
ITリソースやサーバー、そして、ファイアウォールやルーターといいった関連ハードウェアを収容したコンピューター ルームへの物理的なアクセスは、カードキーシステムとビデオ監視によって、承認された者に限定される。
物理的アクセスのカードはビルのセキュリティスタッフによって管理さ れる。アクセスカードの利用は記録される。記録は維持され、ビルのセキュリティスタッフによって確認される。
コンピューター設備への特権的な物理的ア クセスの要求コンピューター操作のマネージャーの承認が求められる。
本人確認と潜在的なセキュリティ違反の報告には明文化された手続が存在する。
オフサイトのバックアップデータと媒体 はサービスプロバイダーの設備にて保管される。
オフサイトデータと媒体へのアクセスはコンピューター操作のマネージャーの承認が求められる。