基準 3.9

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.9です。

Criteria 3.9
Procedures exist to provide that personnel responsible for the design,
development, implementation, and operation of systems affecting security are qualified to fulfill their responsibilities.
基準 3.9 
セキュリティに影響するデザイン、開発、実装、そしてシステムオペレーションに責任を持つ社員の責任を満たすための資 格を提供する手順が存在する。

Illustrative Controls
The entity has written job descriptions specifying the responsibilities and academic and professional requirements for key job positions.
Hiring procedures include a comprehensive screening of candidates for key positions and consideration of whether the verified credentials are commensurate with the proposed position. New personnel are offered employment subject to background checks and reference validation.
Candidates, including internal transfers, are approved by the line-of-business manager before the employment position is offered.
Periodic performance appraisals are performed by employee supervisors and include the assessment and review of professional development activities.
Personnel receive training and development in system security concepts and issues.
Procedures are in place to provide alternate personnel for key system security functions in case of absence or departure.

統制の実例
主たる業務ポジションに求められる責任と学位と専門的要件を明記した職務記述書がある。
採用手順には、主要ポジションの候補者に ついての、包括的な審査と検査認定が提示されたポジションにふさわしいかどうかの考慮が含まれる。新しい社員はバックグラウンドの確認と推薦状の検証を目 的とした仕事を提示される。
候補者（内部異動者を含む）は、雇用ポジションの提示以前に、ビジネスラインの管理者によって認定される。
定期的なパフォーマンス評価は従業員監 督者によって行われ、専門能力開発活動の見積と確認を含む。
従業員はシステムセキュリティのコンセプトと項目の訓練と開発を受ける。
欠勤や離反に備え、主要システムセキュリ ティ機能について代替要員の供給手順がある。