引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.10です。
Maintainability-related criteria applicable to the system’s security
システムのセキュリティに適用される保守関連の基準
Criteria 3.10
Procedures exist to maintain system components, including configurations consistent with the defined system security policies.
基準 3.10
定義されたシステムセキュリティポ リシーと一致した設定を含むシステムコンポーネントを維持する手順が存在する。
Illustrative Controls
Entity management receives a third-party opinion on the adequacy of security controls, and routinely evaluates the level of performance it receives (in accordance with its contractual service-level agreement) from the service provider that hosts the entity’s systems and Web site.
The IT department maintains a listing of all software and the respective level, version, and patches that have been applied.
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
Change requestors are kept informed about the status of their requests.
Staffing, infrastructure, and software requirements are periodically evaluated and resources are allocated consistent with the entity’s security policies.
System configurations are tested annually, and evaluated against the entity’s security policies and current service-level agreements. An exception report is prepared and remediation plans are developed and tracked.
The IT steering committee, which includes representatives from the lines of business and customer support, meets monthly and reviews anticipated, planned, or recommended changes to the entity’s security policies, including the potential impact of legislative changes.
統制の実例
経営者はセキュリティ統制につ いての妥当性の第三者意見を受け取り、定常的にシステムとウェブサイトをホストするサービスプロバイダーから(契約上のサービスレベル合意に従って)受け取るパフォーマンスレベルを評価する。
IT部門は全てのソフトウェアとそれぞれのレベル、バー ジョン、適用されるパッチの一覧を維持する。
変更要望、システム維持、そしてサプライヤーのメンテナンスは標準化され、文書の変更管理手続に従う。変更は分類され、優先度で順位付けられ、そして緊急事項を処理するための手順がある。
変更要求は要求のステータスに関する情報が保持される。
人材、インフラストラクチャ、およびソフトウェアの要件は、定期的に評価され、リソースは、セキュリティポリシーと一致して割り当てらる。
システム設定は毎年テストされ、セキュリティポリシーと現在のサービスレベル契約に対する評価を行う。例外レポートが用意され、改善計画が開発され、追跡され る。
ビジネスラインの代表とカスタマーサポートを含むIT運営委員会は月例会合を持ち、法改正の潜在的な影響を含む、予想されまたは計画されまたは推奨されるセキュリティポリシーの変更を確認す る。
公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。
0 件のコメント:
コメントを投稿