公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年5月31日月曜日

e. Restriction of access to system configurations, superuser functionality, master passwords, powerful utilities, and security devices

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表のe. Restriction of access to system configurations, superuser functionality, master passwords, powerful utilities, and security devicesです。

e. Restriction of access to system configurations, superuser functionality, master passwords, powerful utilities, and security devices:
e. システム設定やスーパーユーザー機能、マスターパスワード、強力なユーティリティー、そしてセキュリティデバイスへのアクセス制限:
  • Hardware and operating system configuration tables are restricted to appropriate personnel.
  • ハードウェアとオペレーティングシス テムの設定テーブルは適切な従業員に制限される。
  • Application software configuration tables are restricted to authorized users and under the control of application change management software.
  • アプリケーションソフトウェアの設定テーブルは承認されたユーザーに制限され、アプリケーション変更管理ソフトウェアの コントロール下に置かれる。
  • Utility programs that can read, add, change, or delete data or programs are restricted to authorized technical services staff. Usage is logged and monitored by the manager of computer operations.
  • データやプ ログラムを読むこと、追加、変更または消去できるユーティリティプログラムは権限のあるテクニカルサービススタッフに制限される。使用状況は記録され、コ ンピューターオペレーションのマネージャーによって監視される。
  • The information security team, under the direction of the CIO, maintains access to firewall and other logs, as well as access to any storage media. Any access is logged and reviewed quarterly.
  • CIOの 指示のもと、情報セキュリティチームは、あらゆるストレージへのアクセスと同様に、ファイアウォールと他の記録の保守を行う。あらゆるアクセスは記録さ れ、四半期ごとに確認される。
  • A listing of all master passwords is stored in an encrypted database and an additional copy is maintained in a sealed envelope in the entity safe.
  • 全てのマスターパスワードは暗号化されたデータベースに格納され、別途コピーが封緘され金庫に保管される。

2010年5月28日金曜日

d. The process to grant system access privileges and permissions

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表のd. The process to grant system access privileges and permissionsです。

d. The process to grant system access privileges and permissions:
d. システムのアク セス権限およびアクセス許可を付与するプロセス:
  • All paths that allow access to significant information resources are controlled by the access control system and operating system facilities. Access requires users to provide their user ID and password. Privileges are granted to authenticated users based on their user profiles.
  • 重要な情報資源へのアクセスを許可する全てのパスはアクセスコントロールシステムとオペレーティングシステム設備によ り制御される。特 権は認証され たユーザーのユーザープロファイルに基づいて付与される。
  • The login session is terminated after three unsuccessful login attempts. Terminated login sessions are logged for follow-up.
  • ログインセッションは3回ログインを試みて失敗すると終了される。終了されたログインセッションはフォローアップのために記録される。

2010年5月27日木曜日

c. Changes and updates to user profiles

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表のc. Changes and updates to user profilesです。

c. Changes and updates to user profiles:
c. ユーザープロファイルの変更と更新:
  • Changes and updates to self-registered customer accounts can be done by the individual user at any time on the entity’s Web site after the user has successfully logged onto the system. Changes are reflected immediately.
  • 自己登録顧客アカウントの変更と更新は、ログオンに成功後、個々のユーザーがいつでも ウェブサイトで行うことができる。
  • Unused customer accounts (no activity for six months) are purged by the system.
  • 利用されない顧客アカウント(6ヶ月以上活動なし)はシステムによって削除される。
  • Changes to other accounts and profiles are restricted to the security administration team and require the approval of the appropriate line-of-business supervisor or customer account manager.
  • 他のアカウントとプロファイルへの変更はセキュリティ管理チームに限定され、適切なビジネスラインの管理者や顧客のアカウ ントマネージャの承認が必要であ る。
  • Accounts for terminated employees are deactivated upon notice of termination being received from the human resources team.
  • 雇用が終了した従業員のアカウントは人事チームからの終了通知に基づき無効化される。

2010年5月26日水曜日

b. Identification and authentication of users

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表のb. Identification and authentication of usersです。

b. Identification and authentication of users:
b. ユーザーの識別と認証:
  • Users are required to log on to the entity’s network and application systems with their user ID and password before access is granted. Unique user IDs are assigned to individual users. Passwords must contain at least characters, one of which is nonalphanumeric. Passwords are case sensitive and must be updated every 90 days.
  • ユー ザーはアクセスが認められる前に、ユーザーIDとパスワードでのネットワークとアプリケーションシステムへのログオンを求められる。ユニークユーザーIDが個人ユーザーに割り当てられる。パスワードは少なくとも6文字を含み、内1文字は英数字以外でなければならない。パスワードは大文字と小文字が区別され、90日毎に更新されなければならない。

2010年5月25日火曜日

a. Registration and authorization of new users

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表のa. Registration and authorization of new usersです。

Illustrative Controls
統制の実例

a. Registration and authorization of new users:
a. 新規ユーザーの登録と認証:
  • Customers can self-register on the entity’s Web site, under a secure session in which they provide new user information and select an appropriate user identification (ID) and password. Privileges and authorizations associated with self-registered customer accounts provide specific limited system functionality.
  • 顧客は ウェブサイトにて、新規ユーザーに関する情報が供給され、専用のユーザー識別(ID)とパスワードを選べる安全なセッションのもとで、自身で登録すること ができる。自己登録の顧客アカウントは特定の限定された権利と権限が与えられる。
  • The ability to create or modify users and user access privileges (other than the limited functionality “customer accounts”) is limited to the security administration team.
  • ユー ザーを新規作成したり変更する能力とユーザーアクセスの権利(機能限定された"顧客アカウント"以外の) はセキュリティ管理チームに限定される。
  • The line-of-business supervisor authorizes access privilege change requests for employees and contractors. Customer access privileges beyond the default privileges granted during self-registration are approved by the customer account manager. Proper segregation of duties is considered in granting privileges.
  • 基幹業務管理者 が従業員や請負業者のためのアクセス権限の変更要求を承認します。自己登録時に付与されたデフォルトの権限を超えた顧客のアクセス権限は、顧客アカウントのマネージャによって承認される。権利を認めるには職務の分離が考慮される。

2010年5月21日金曜日

基準3.4

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.4です。

Security-related criteria relevant to the system’s availability
システムの可用性に関連したのセキュリティ関係の基準

Criteria 3.4
Procedures exist to restrict logical access to the defined system including, but not limited to, the following matters:
a. Registration and authorization of new users.
b. Identification and authentication of users.
c. The process to make changes and updates to user profiles.
d. The process to grant system access privileges and permissions.
e. Restriction of access to system configurations, superuser functionality,
master passwords, powerful utilities, and security devices (for example, firewalls).

基 準 3.4
以下の事柄を含む(がそれらに限定されない)定義された システムへの論理的アクセスを制限する手順が存在する。
a. 新規ユーザーの登録と認証
b. ユーザーの識別と認証
c. ユーザープロファイルの変更と更新手順
d. システムのアクセス権限およびアクセス許可の付与手順
e. システム設定、スーパーユーザー機能、マスターパスワード、強力なユーティリティ、セキュリティデバイス(例:ファイアウォール)へのアクセス制限

2010年5月20日木曜日

基準3.3

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.3です。
Criteria 3.3
Procedures exist to provide for the integrity of backup data and systems maintained to support the entity’s defined system availability and related security policies.
基準 3.3
バックアップデーターの完全性と定義されたシステムの可用性をサポートするシステム保 守と関連するセキュリティーポリシーを供給するための手順が存在する。

Illustrative Controls 
統制の実例
Automated backup processes include procedures for testing the integrity of the backup data.
自動バックアッププロセスにはバックアップデーターの完全性のテストの手順が含まれる。

Backups are performed in accordance with the entity’s defined backup strategy, and usability of backups is verified at least annually.
Backup systems and data are stored offsite at the facilities of a thirdparty service provider.

バックアップはバックアップ戦略にしたがって行われ、 バックアップの有用性は少なくとも年次に検証される。
バックアップシステムとデー ターは第三者のサービス提供者の施設においてオフサイトで保管される。

Under the terms of its service provider agreement, the entity performs an annual verification of media stored at the offsite storage facility. As part of the verification, media at the offsite location are matched to the appropriate media management system. The storage site is reviewed biannually for physical access security and security of data files and other items.
サービス提供者との合意条件のもとでオフサイト倉庫施設に保管さ れた媒体の年次検証を行う。検証の一環として、オフサイトの倉庫施設に保管されている媒体は 適切な媒体管理システムと照合される。ストレージサイトは隔年ごとに物理的なアクセスセキュ リティとデーターファイルや他のアイテムのセキュリティを確認される。

Backup systems and data are tested as part of the annual disaster recovery test.
バックアップシステムとデーターは年次災害復旧テストの一環としてテストされる。

2010年5月19日水曜日

基準3.2(下)

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.2(下)です。
The disaster recovery plan defines the roles and responsibilities and identifies the critical information technology application programs, operating systems, personnel, data files, and time frames needed to ensure high availability and system reliability based on the business impact analysis.
災 害復旧計画は、役割と責任を定義し、重要な情報技術のアプリケーションプログラム、オペレーティングシステム、従業員、データファイル、ビジネス影響度分析に基づいた高可用性とシステムの信頼性を確 保するため必要なタイ ムフレームを特定する
The business continuity planning (BCP) coordinator reviews and updates the business impact analysis with the lines of business annually.
事業継続計画(BCP)コーディネーターは毎年ビジネスラインのビジネス影響度分析を確認し更新する。
Disaster recovery and contingency plans are tested annually in accordance with the entity’s system availability policies. Testing results and change recommendations are reported to the entity’s management committee.
災害復旧と危機管理計画は毎年システム可用性計画に従いテストされる。テストの結果と変更提言は経営委員会へ報告され る。
The entity’s management committee reviews and approves changes to the disaster recovery plan.
経営委員 会は災害復旧計画の変更を確認し承認する。
All critical personnel identified in the business continuity plan hold current versions of the plan, both onsite and offsite. An electronic version is stored offsite.
事業継続計画で特定された全ての重要な従業員は計画の最新版をオンサイトとオフサイトで持つ。電子版はオフサイトに保 管される。

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.3です。

2010年5月18日火曜日

基準3.2(上)

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.2(上)です。

Criteria
3.2

Procedures exist to provide for backup, offsite storage, restoration, and disaster recovery consistent with the entity’s defined system availability and related security policies.
基準 3.2
定義されたシステムの可用性と関連するセキュリティポリシーと一致した、バックアップ、オフサイトストレージ、復旧そ して災害復旧手順が存在する。

Illustrative Controls
統制の実例
Management has implemented a comprehensive strategy for backup and restoration based on a review of business requirements. Backup procedures for the entity are documented and include redundant servers, daily incremental backups of each server, and a complete backup of the entire week’s changes on a weekly basis. Daily and
weekly backups are stored offsite in accordance with the entity’s system availability policies.

経営者は、ビジネス要件の評価に基づいて、バッ クアップと復元のための包括的な戦略を実装する。バックアップ手順が記載されて、冗長サーバー、各サー バーの毎日の増分バックアップ、および週単位で1週間の変更の完全なバックアップが含まれる。毎日および毎週のバックアップはエンティティのシステム の可用性ポリシーに応じてオフサイトに格納されます。
Disaster recovery and contingency plans are documented.
災害復旧及び危機管理計画は文書化されてい る。

2010年5月17日月曜日

基準3.1(下)

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.1(下)です。

Management maintains measures to protect against environmental factors (for example, fire, flood, dust, power failure, and excessive heat and humidity) based on its risk assessment. The entity’s controlled areas are protected against fire using both smoke detectors and a fire suppression system. Water detectors are installed within
the raised floor areas.

経営はリスクアセスメントに基づき、環境要因(例えば、火災、洪水、ほこり、電源断、過度の暑さと湿度)から保護する手法を維持する。統制された区域は煙探知機と消火システムの両方により火災から保護される。水探知機は上げ床の区域に設置される。

The entity site is protected against a disruption in power supply to the processing environment by both uninterruptible power supplies (UPS) and emergency power supplies (EPS). This equipment is tested semiannually.
現場は処理環境への電源供給断から無停電電源装置(UPS)と緊急電源(EPS)によって保護されている。
Preventive maintenance agreements and scheduled maintenance procedures are in place for key system hardware components.
予防保守合意と計画的保守手続は重要なシステムハードウェアコンポーネントについて存在する。
Vendor warranty specifications are complied with and tested to determine if the system is properly configured.
ベンダーの保証仕様は、システムが適切に 構成されているかどうかを決定するために遵守されテストされる。
Procedures to address minor processing errors, outages, and destruction of records are documented.
マイナーな処理エラーや停電、記録の破壊の処理手順は記録される。
Procedures exist for the identification, documentation, escalation, resolution, and review of problems.
認証、文書化、エスカレーション、決議そして問題の確認の手順が存在する。
Physical and logical security controls are implemented to reduce the opportunity for unauthorized actions that could impair system availability.
システムの可用性を損なう可能性のある不正行為の機会を減らすための物理的・論理的セキュリティ統制が実装される。

2010年5月15日土曜日

基準3.0、3.1(上)

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準3.0、3.1(上)です。 

Criteria 3.0
Procedures: The entity uses procedures to achieve its documented system availability objectives in accordance with its defined policies.
基準 3.0
手順:定義されたポリシーに基づいて、文書化されたシステムの可用性の目標を達成するための手順を使用する。

Criteria 3.1
Procedures exist to protect the system against potential risks (for example, environmental risks, natural disasters, labor disputes, and routine operational errors and omissions) that might disrupt system operations and impair system availability.
基準 3.1
システムの操作を混乱させたりシステムの可用性を損なうかもしれない潜在的リスク(例えば、環境リスク、天災、労働争 議、日常の操作ミスや怠慢)からシステムを守る手順が存在する。

Illustrative Controls
統制の実例
A risk assessment is prepared and reviewed on a regular basis or when a significant change occurs in either the internal or external physical environment. Threats such as fire, flood, dust, power failure, excessive heat and humidity, and labor problems have been considered.
リスクアセスメントが準備され定 期的または内部または外部両方の物理環境に重要な変更が発生した際に確認される。火災、洪水、ほこり、電源障害、過度の暑さと湿度、労働問題の脅威が考慮 される。

2010年5月13日木曜日

基準2.5

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準2.5です。

Criteria 2.5
Changes that may affect system availability and system security are communicated to management and users who will be affected.
基準 2.5
システムの可用性とシステムセ キュリティに影響する変更は経営者と影響を受けるであろうユーザーに伝達される。

Illustrative Controls
Changes that may affect system availability, customers and users and their security obligations, or the entity’s security commitments are highlighted on the entity’s Web site.
Changes that may affect system availability and related system security are reviewed and approved by affected customers under the provisions of the standard services agreement before implementation of the proposed change.
Planned changes to system components and the scheduling of those changes are reviewed as part of the monthly IT steering committee meetings.
Changes to system components, including those that may affect system security, require the approval of the manager of network operations and/or the security administration team, before implementation.
There is periodic communication of system changes, including changes that affect availability and system security.
Changes that affect system security are incorporated into the entity’s ongoing security awareness program.

統制の実例
システムの可用性や顧客およびユーザーに影響する変更と彼らのセキュリティ義務または企業のセキュリティの約束事項は ウェブサイトで強調される。
システムの可用性と関連するシステムセキュリティに影響するおそれのある変更は影響を受ける顧客によって、提案された変 更の実装前に、標準的なサービス契約の規定のもと確認され承認される。
システムコンポーネントへの計画された変更とそれらの変更のスケジュールは月例IT運営委員 会の中で確認される。
システムセキュリティに影響するものも含めたシステムコンポーネントへの変更は、実装前に、ネットワークオペレーション の管理者と/またはセキュリティ管理チームの承認を求める。
可用性とシステムセキュリティに影響するものを含めたシステム変更の定期的な伝達が存在する。
システムセキュリティに影響する変更は継 続的なセキュリティ注意喚起プログラムに組み込まれる。

2010年5月12日水曜日

基準2.4

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準2.4です。

Criteria 2.4
The process for informing the entity about system availability issues and breaches of system security and for submitting complaints is communicated to authorized users.

基準 2.4
企業へのシステムの可用性に関することやシステムセキュリティの侵害を知らせるプロセスと苦情の提出プロセスは権限のあ るユーザーに伝達される。

Illustrative Controls
The process for customers and external users to inform the entity of system availability issues, possible security breaches, and other incidents is posted on the entity’s Web site and/or is provided as part of the new user welcome kit.
The entity’s user training program includes modules dealing with the identification and reporting of system availability issues, security breaches, and other incidents.
The entity’s security awareness program includes information concerning the identification of possible security breaches and the process for informing the security administration team.
Documented procedures exist for the identification and escalation of system availability issues, security breaches, and other incidents.

統制の実例
顧客や外部のユーザーへ、システムの可用性関連、潜在的なセキュリティの侵害、その他事故について案内するためのプロ セスはウェブサイトおよび/あるいは新ユーザー受入キットに含まれる。
ユーザー訓練プログラムには、システムの可用性関連の認識と報告、セキュリティの侵害、その 他事故を取り扱うモジュールが含まれる。
セキュリティ意識向上プログラムには、潜在的なセキュリティ侵害の認識とセキュリティ管理チームへの通知プロセスに関し た情報が含まれる。
シ ステムの可用性に関することやセキュリティ侵害、その他事故の認識とエスカレーションの明文化された手続が存在する。

2010年5月11日火曜日

基準2.3

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準2.3です。

Criteria 2.3
Responsibility and accountability for the entity’s system availability and related security policies and changes and updates to those policies are communicated to entity personnel responsible for implementing them.
基準 2.3
システムの可用性と関連するセキュリティポリシーの責務と説明責任、そして、それらのポリシーの変更と更新は、それらを 実装する責任のある社員に伝達される。

Illustrative Controls

The network operations team is responsible for implementing the entity’s availability policies under the direction of the chief information officer (CIO). The security administration team is responsible for implementing the related security policies.
The network operations team has custody of and is responsible for the day-to-day maintenance of the entity’s availability policies, and recommends changes to the CIO and the IT steering committee. The security administration team is responsible for the related security policies.
Availability and related security commitments are reviewed with the customer account managers as part of the annual IT planning process.
統制の実例
ネットワークオペレーションチームは最高情報責任者(CIO)の指示のもと、可用性のポリシーの実装に責任を持つ。セ キュリティ管理チームは関連するセキュリティポリシーの実装に責任を持つ。
ネットワークオペレーションチームは可用性ポリシーの日々の保守を監督し責任を持つ。またCIOとIT運営委員会に対して変更を提言する。セキュリティ管理 チームは関連するセキュリティポリシーに責任を持つ。
可用性と関連するセキュリティの約束は顧客アカウント管理者により年次IT計画策定プロセスの一部として確認される。

2010年5月7日金曜日

基準 2.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 2.2です。
Criteria 2.2
The availability and related security obligations of users and the entity’s availability and related security commitments to users are communicated to authorized users.
基準 2.2
ユーザーの可用性と関連するセキュリティ義務、企業の可用性と関連するセキュリティのユーザーへの約束は承認された ユーザーへ伝達される。

Illustrative Controls
統制の実例
The entity’s system availability and related security commitments and required system availability and related security obligations of its customers and other external users are posted on the entity’s Web site and/or as part of the entity’s standard services agreement. Service-level agreements are reviewed with the customer annually.
企業のシステムの可用性と関連するセキュリ ティの約束と顧客や外部のユーザーに要求されるシステムの可用性と関連するセキュリティ義務は企業のウェブサイトや(or または)標準的なサービス合意に記載される。サービスレベル合意は顧客によって毎年確認される。

For its internal users (employees and contractors), the entity’s policies relating to system availability and security are reviewed with new employees and contractors as part of their orientation, and the key elements of the policies and their impact on the employee are discussed. New employees must sign a statement signifying that they have read, understand, and will follow these policies. Each year, as part of their performance review, employees must reconfirm their understanding of and compliance with the entity’s policies.
Obligations of contractors are detailed in their contract.

インターネットユーザー(従業員と請負者)にとってシステムの可用性とセキュリティに関するポリシーは新規雇用者と請 負者にオリエンテーションの一環として確認される。そしてポリシーの鍵となる要素とそれらの従業員への影響について議論される。新規雇用者はこれらのポリ シーを読み終え、理解し、従うことを確認した声明文に署名する。毎年、パフォーマンスレビューの一部として従業員はポリシーの理解と遵守を再確認する。
請負人の義務は契約に詳述される。
A security awareness program has been implemented to communicate the entity’s IT security policies to employees.
セキュリティ喚起プログラムは従業員への ITセキュリティポリシーの伝達に実装される。
The entity publishes its IT security policies on its corporate intranet.
ITセキュリ ティポリシーは社内のイントラネットに掲出される。

2010年5月6日木曜日

基準 2.0,2.1

ゴールデンウィークのため中断していましたが、引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準2.0,2.1です。
Criteria 2.0 
Communications: The entity communicates the defined system availability policies to authorized users.
基準 2.0
伝達:定義されたシステムの可用性方針を承認されたユーザーへ伝達する。

Criteria 2.1 
The entity has prepared an objective description of the system and its boundaries and communicated such description to authorized users.
基準 2.1
システムの目的の説明とその境界と そのような説明を承認されたユーザーへ伝達する用意がある。


Illustrative Controls
For its e-commerce system, the entity has posted a system description on its Web site. [For an example of a system description for an e-commerce system, refer to Appendix A(paragraph .42).]
For its non–e-commerce system, the entity has provided a system description to authorized users. [For an example of a system description for a non–e-commerce based system, refer to Appendix B (paragraph .43).]

統制の実例
商用システムについて、自社のウェブサイトにシステムの説明を掲載する。[Eコマースシステムの説明例は付録A(42 項)を参照]
非商 用システムについてはシステム説明を認められたユーザーに対して供給する。[非商用ベースのシステムの説明例は付録B(43項)を参照]