基準 4.0、4.1

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 4.0、4.1です。

Criteria 4.0
Monitoring: The entity monitors the system and takes action to maintain compliance with its defined system security policies.
基準 4.0
監 視：システムを監視し、定義されたシステムセキュリティポリシーの遵守を維持するためのアクションをとる。

Criteria 4.1
The entity’s system security is periodically reviewed and compared with the defined system security policies.
基準 4.1
システムセキュリティは定期的に確認され、定義されたシステムセキュリティポリシーと比較される。

Illustrative Controls
The information security team monitors the system and assesses the system vulnerabilities using proprietary and other tools. Potential risk is evaluated and compared to service-level agreements and other obligations of the entity. Remediation plans are proposed and implementation is monitored.
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. The internal audit function conducts system security reviews as part of its annual audit plan.
Results and recommendations for improvement are reported to management.
統制の実例
情報セキュリティチームはシステムを監視し、所有権や他のツールを使いシステムの脆弱性を見積もる。潜在的なリスクは評価され、サービスレベル合意と他の義務と比較される。修復計画が提案され、実装が監視される。
定期的なセキュリティ確認と脆弱性見積について第三者と契約する。内部監査機能はシステムセキュリティ確認を年度の監査 計画の一環として指揮する。
結果と改善の提言は経営者へ報告される。