基準 3.8

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.8です。

Criteria related to the system components used to achieve the objectives
目的を達成するために使用されるシステムコンポーネントに関する基準

Criteria 3.8
Design, acquisition, implementation, configuration, modification, and management of infrastructure and software related to system security are consistent with defined system security policies to enable authorized access and to prevent unauthorized access.
基準 3.8
システムセキュリティ関連のインフラスト ラクチャーとソフトウェアのデザイン、獲得、実装、設定、変更、そして管理は、承認されたアクセスを可能にして未承認のアクセスを防ぐために定義されたシ ステムセキュリティポリシーと一致する。
Illustrative Controls
The entity has adopted a formal systems development life cycle (SDLC) methodology that governs the development, acquisition, implementation, and maintenance of computerized information systems and related technology.
The SDLC methodology includes a framework for classifying data and creating standard user profiles that are established based on an assessment of the business impact of the loss of security. Users are assigned standard profiles based on needs and functional responsibilities.
Owners of the information and data classify its sensitivity and determine the level of protection required to maintain an appropriate level of security.
The security administration team reviews and approves the architecture and design specifications for new systems development and/or acquisition to ensure consistency with the entity’s security objectives, policies, and standards.
Changes to system components that may affect security require the approval of the security administration team.
The access control and operating system facilities have been installed, including the implementation of options and parameters, to restrict access in accordance with the entity’s security objectives, policies, and standards.
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. Results and recommendations for improvement are reported to management.
統制の実例
コンピュータ化された情報システムと関連する技術の開発、獲得、実装、そして維持の正式なシステム開発ライフサイクルの 方法論を取り入れる。

SDLCの方法論は分類されたデータと標準的なユーザーのプロファイル作成のフレームワークを含む。これらはセキュリ ティ欠如によるビジネスインパクトの見積に基づいて確立される。ユーザーは必要性と機能的な責任に基づいて標準的なプロファイルを与えられる。

情報とデータの所有者は、機微の度合い により分類され、適切なセキュリティレベルを維持するための防御の度合いにより決定される。

セキュリティ管理チームは、セキュリティの目的、ポリシー、そして標準 と一致を確保するために、新システムの開発と（あるいは）獲得の構造とデザイン仕様を確認し承認する。
セキュリティに影響するかもしれないシステムコンポーネントの変更は セキュリティ管理チームの承認を要する。

セキュリティの目的、ポリシー、そして標準に従って制限するためのアクセスコントロールとオペレーションシステム設備が 構築されている。（オプションとパラメーターの実装を含む）。

サードパーティと定期的なセキュリティ確認と脆弱性見積実施の契約を結ぶ。結果と改善提案は経営者に報告される。