基準 3.7

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.7です。

Criteria 3.7
Procedures exist to provide that issues of noncompliance with system security policies are promptly addressed and that corrective measures are taken on a timely basis.
基準 3.7
システムのセキュリティポリシーの違反が迅速に処理された結果と適時にとられた是正措置を提 供する手順が存在する。

Illustrative Controls
Security issues are recorded and accumulated in a problem report.
Corrective action is noted and monitored by management.
On a routine basis, security policies, controls, and procedures are audited by the internal audit department. Results of such examinations are reviewed by management, a response is prepared, and a remediation plan is put in place.
統制の実例
セキュリティ結果は問題報告に記録さ れ蓄積される。
是正対応は経営者により記録され監視される。
定期的に、セキュリティポリシーと統制、そして手続は内部監査部門により監査 される。このような検査の結果は経営者によって確認され、対応が準備され、改善計画が整備される。