公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年3月4日木曜日

Security Principle and Criteria

引き続き、勝手訳です。後半は表の内容に入るため、順序が若干変わります。

Security Principle and Criteria(安全性の原則と基準)
  • .16 The security principle refers to the protection of the system components from unauthorized access, both logical and physical. In e-commerce and other systems, the respective parties wish to ensure that information provided is available only to those individuals who need access to complete the transaction or services, or follow up on questions or issues that may arise. Information provided through these systems is susceptible to unauthorized access during transmission and while it is stored on the other party’s systems. Limiting access to the system components helps prevent potential abuse of system components, theft of resources, misuse of software, and improper access to, use, alteration, destruction, or disclosure of information. Key elements for the protection of system components include permitting authorized access and preventing unauthorized access to those components.
  • .16 安全性の原則は、論理的と物理的な未承認のアクセスからのシステムコンポーネントの防御について言及している。Eコマースやそれ以外のシステムにおいて、 各当事者は、取引やサービスを完了するためにアクセスする必要がある個人または発生するであろう質問や不明点のフォローアップにだけ情報提供を有効にしたい。これらのシステムを介して提供される情報は、伝送中または別のシステムに格納されている間に不正にアクセスされやすい。システムコンポーネントへのア クセスを限定することは システムコンポーネントの潜在的な悪用や資源の窃用、ソフトウェアの誤用、そして使用・改変・破壊・情報暴露のための不正アクセ スを防ぐことに役立つ。システムコンポーネントの保護の主な要素は承認されたアクセスを許可することと未承認のアクセスを防ぐことが含まれる。
Security Principle and Criteria Table(安全性の原則と基準の表)
  • .17 The system is protected against unauthorized access (both physical and logical).
  • .17 システムは未承認のアクセス(物理的・論理的)から保護されている
※以下、項 目数の多い表であるため後日整理します。(今回は表中のポリシーのみ抜粋)
    • 1.0 Policies: The entity defines and documents its policies for the security of its system.
    • 1.0 ポリシー:システムの方針を定義し文書化する
    • 2.0 Communications: The entity communicates its defined system security policies to authorized users.
    • 2.0 伝達:定義されたシステム安全性方針を承認されたユーザーへ伝達する
    • 3.0 Procedures: The entity uses procedures to achieve its documented system security objectives in accordance with its defined policies.
    • 3.0 手順:定義され たポリシーに基づいて、その文書化されたシステムの安全性目標を達成するために手順を利用する
    • 4.0 Monitoring: The entity monitors the system and takes action to maintain compliance with its defined system security policies.
    • 4.0 監視:システムを監視し、行動することで定義された安全性方針を守ることを維持する。
今回のポイントは、
  • シ ステムの保護にはアクセスの限定が必要である。
  • 安全性の原則と基準にはポリシー、伝達、手順、監視の観点がある
だ と思われます。

0 件のコメント:

コメントを投稿