基準 3.6

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.6です。

Criteria 3.6
Procedures exist to identify, report, and act upon system security breaches and other incidents.
基準 3.6
認証、報告そしてシステムセキュリティ侵害やその他ゆ事故への対応の手続が存在する。

Illustrative Controls
Users are provided instructions for communicating potential security breaches to the information security team. The information security team logs incidents reported through customer hotlines and e-mail.
Intrusion detection and other tools are used to identify, log, and report potential security breaches and other incidents. The system notifies the security administration team and/or the network administrator via e-mail and pager of potential incidents in progress.
Incident logs are monitored and evaluated by the information security
team daily.
Documented incident identification and escalation procedures are approved by management.
統制の実例
ユー ザーは、情報セキュリティチームへ潜在的なセキュリティ侵害を伝達する訓練がなされている。情報セキュリティチームは顧客ホットラインや電子メールを通じ て報告された事故を記録する。
侵入検知と他のツールは認証、記録そして潜在的なセキュリティ侵害とその他事故の報告に使用される。システムはセ キュリティ管理者と（または）ネットワーク管理者に潜在的で進行中の事故についてメールまたはポケットベルにて警告する。
事故の記録は毎日情報セ キュリティチームによって監視され評価される。
文書化された事故識別と上位報告の手順は経営者によって承認されている。