基準 3.12

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.12です。
Criteria 3.12
Procedures exist to provide that emergency changes are documented and authorized (including after-the-fact approval).
基準 3.12
緊急変更が文書化され承認されることを供給する手順が存在する。（事後の承認を含む）

Illustrative Controls
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
Change requestors are kept informed about the status of their requests.
Emergency changes that require deviations from standard procedures are logged and reviewed by IT management daily and reported to the affected line-of-business manager. Permanent corrective measures follow the entity’s change management process, including line-of-business approvals.
統制の実例
変更要求、システム保守、そしてサプライヤーのメンテナンスは標準化され、文書化された変更管理手順に従う。変更は分 類され、優先度により順位付けされ、緊急事項を取り扱う手順がある。
変更要求はそれらの状況が継続的に知らされる。
標準的な手順から逸脱する必要のある緊急 変更は記録されIT管理者により毎日確認され、影響のあるビジネスラインの管理者へ報告される。常設是正措置は、ビジネスラインの承認を含む、変更管理プ ロセスに従う。