Foundation for Trust Services—Trust Services Principles and Criteria

引き続き、勝手訳です。

Foundation for Trust Services—Trust Services Principles and Criteria（信用提供の基礎—信用提供の原則と基準）

• .09 The Trust Services Principles and Criteria set forth herein are organized into four broad areas:
• a. Policies. The entity has defined and documented its policies(fn 1) relevant to the particular principle.
• b. Communications. The entity has communicated its defined policies to authorized users.
• c. Procedures. The entity uses procedures to achieve its objectives in accordance with its defined policies.
• d. Monitoring. The entity monitors the system and takes action to maintain compliance with its defined policies.
• fn 1 As noted in paragraph .07, the term policies refers to written statements which communicate management's intent, objectives, requirements, responsibilities, and/or standards for a particular subject. Some policies may be explicitly described as such, being contained in policy manuals or similarly labeled documents. However, some policies may be contained in documents without such explicit labeling, including for example, notices or reports to employees or outside parties.
• .09 信用提供の原則と基準は以下の4つに体系化される。
• a. 方針。特定の原則に関連したその方針（fn 1）が定義され記述される。
• b. 伝達。定義された方針が許可された利用者へ伝達される。
• c. 手続。定義された方針に従い目的を達成するために手続が使われる。
• d. 監視。システムを監視し、その定義された方針により法を守ることを維持する行動をとる。
• fn 1 .07節に書かれているように、「方針」という用語は記述された声明のことである。声明とは経営者の意思や目的や要求や責任、または／あるいは特定の課題 に対する標準の伝達である。いくつかの方針は明確に、方針マニュアルや同様に標識した文書として記述されているものに含ま れ るかもしれない。しかしならが、いくつかの方針はそのような明確な標識されていない、例えば、注意や従業員または外部への報告に含まれるかもしれない。

• .10 A two-column format has been used to present and discuss the criteria. The first column presents the criteria—the attributes that the entity must meet to be able to demonstrate that it has achieved the principle. The second column provides illustrative controls. These are examples of controls that the entity might have in place to conform to the criteria. Alternative and additional controls may also be appropriate. In addition, examples of system descriptions for both e-commerce and non-e-commerce systems are included in Appendix A [paragraph .42] and Appendix B [paragraph .43], respectively, and Appendix A [paragraph .42] also includes sample disclosures for e-commerce systems.
• .10 基準を示し議論するために2列の書式が使用されてきた。1列目は基準を表す。－それは原則を達成するに合致する属性である。2列目は統制の実例を提供す る。これらは基準の代わりに従うべき統制の例である。相互のそして付加的な統制も該当する。加えて、ｅコマースとｅコマース以外の両方のシステム記述の実 例は付録Ａ（42節）と付録Ｂ（43節）それぞれに、そして付録Ａ（42節）はｅコマースシステムの開示例も含む。

• .11 The following principles and related criteria have been developed by the AICPA/CICA for use by practitioners in the performance of Trust Services engagements such as SysTrust and WebTrust.
• a. Security. The system (fn 2) is protected against unauthorized access (both physical and logical).
• b. Availability. The system is available for operation and use as committed or agreed.
• c. Processing integrity. System processing is complete, accurate, timely, and authorized.
• d. Confidentiality. Information designated as confidential is protected as committed or agreed.
• e. Privacy. Personal information (fn 3) is collected, used, retained, and disclosed in conformity with the commitments in the entity’s privacy notice and with criteria set forth in Generally Accepted Privacy Principles issued by the AICPA/CICA (found in Appendix D [paragraph .45]).
• fn 2 A system consists of five key components organized to achieve a specified objective. The five components are categorized as follows:
  (a) infrastructure (facilities, equipment, and networks), (b) software (systems, applications, and utilities), (c) people (developers,
  operators, users, and managers), (d) procedures (automated and manual), and (e) data (transaction streams, files, databases, and tables).
• fn 3 Personal information is information that is, or can be, about or related to an identifiable individual.
• .11 以下の原則と関連する基準は、AICPA/CICAによって、実務家がＳｙｓＴｒｕｓｔとＷｅｂＴｒｕｓｔといった信用提供契約で活躍する際に利用される ために開発された。
• a. 安全性。システム(fn 2)は未承認のアクセス（物理的論理的の双方）に対して守られている。
• b. 可用性。システムは約束または合意された操作し利用することができる。
• c. 処理の完全性。システムの処理は完全であり、正確であり、適時であり、承認されている。
• d. 機密性。情報は約束または合意されたとおりに機密が保護されていることを示されている。
• 秘匿。個人情報(fn 3)は対象の秘匿注意事項と一般に受け入れられ従うべきAICPA/CICA の秘匿原則(付録D [45節])の約束と一致して、収集され、利用され、保持され、そして開示される。
• fn 2 システムは特定の目的を達成するために組織された5つのキーコンポーネントから成る。5つのコンポーネントは以下のように分類される。(a)インフラ（事 務所設備、機器、そしてネットワーク）、(b)ソフトウェア（システム、アプリケーション、そしてユーティリティ）、(c)人（開発者、オペレーター、 ユーザー、そして監督者）、(d)手続（自動と手動）(e)データ（取引の流れファイル、データベース、そしてテーブル)
• fn 3 個人情報とは個人を特定するまたは個人の特定に関連する（あるいは、するこ とが可能な）情報である。

相変わらず、日本語にしても難解ですが、ポイントは、

• 信 用提供の原則は「方針」、「伝達」、「手続」、「監視」の４つである。
• 基準は実例とセットである。
• 信用提供の原則に 関連した基準には「システムの安全性」、「システムの可用性」、「情報の機密性」、「個人情報の秘匿」がある。

だと思われます。