引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準1.2です。
Criteria 1.2
The entity’s system availability and related security policies include, but may not be limited to, the following matters:
a. Identification and documentation of the system availability and related security requirements of authorized users.
b. Allowing access, the nature of that access, and who authorizes such access.
c. Preventing unauthorized access.
d. The procedures to add new users, modify the access levels of existing users, and remove users who no longer need access.
e. Assignment of responsibility and accountability for system availability and related security.
f. Assignment of responsibility and accountability for system changes and maintenance.
g. Testing, evaluating, and authorizing system components before implementation.
h. Addressing how complaints and requests relating to system availability and related security issues are resolved.
i. The procedures to handle system availability and related security breaches and other incidents.
j. Provision for allocation for training and other resources to support its system availability and related security policies.
k. Provision for the handling of exceptions and situations not specifically addressed in its system availability and related security policies.
l. Provision for the identification of, and consistency with, applicable laws and regulations, defined commitments, service-level agreements, and other contracts.
m. Recovery and continuity of service in accordance with documented customer commitments or other agreements.
n. Monitoring system capacity to achieve customer commitments or other agreements regarding availability.
基準 1.2
シ ステムの可用性と関連するセキュリティポリシーは以下のことがらを含む。(限定されるわけではない)
a. システムの認証されたユーザーの可用性と関連するセキュリティの要求の認証と考証
b. アクセスの許可、アクセスの性質、そして、誰がそのようなアクセスを承認したか
c. 未承認のアクセスを防ぐ
d. 新規ユーザーを追加する、既存ユーザーのアクセスレベルを変更する、そして、不要となったユーザーを削除する手順
e. システムの可用性と関連するセキュリティについての責任と説明責任の割り当て
f. システムの変更と保守についての責任と説明責任の割り当て
g. 実装前のシステムコンポーネントの試験、評価、そして、承認
h. どのようにシステムの可用性と関係するセキュリティ事項に関連する不平と要望が解決されるかを説明する
i. システムの可用性と関連するセキュリティ侵害と他の事件を取り扱う手順
j. システムの可用性と関連するセキュリティをサポートするためのトレーニングや他のリソース割 り当ての規定
k. システムの可用性 と関連するセキュリティの例外および特に説明されていない状況を取り扱う規定
l. 適用される法令と規則、定義された約束、サービスレベル合意、そして他の契約規定との一致または整合
m. 文書化された顧客との約束またはその他合意に従ったサービスの復旧と継続
n. 可用性についての顧客との約束やその他合意を達成するための監視システムの能力
Illustrative Controls
The entity’s documented availability and related security policies contain the elements set out in criterion 1.2.
統制の実例
文書化された可用性と関連す るセキュリティポリシーは基準1.2で設定された要素を含む
公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。
0 件のコメント:
コメントを投稿