基準 2.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 2.2です。
Criteria 2.2
The availability and related security obligations of users and the entity’s availability and related security commitments to users are communicated to authorized users.
基準 2.2
ユーザーの可用性と関連するセキュリティ義務、企業の可用性と関連するセキュリティのユーザーへの約束は承認された ユーザーへ伝達される。

Illustrative Controls
統制の実例
The entity’s system availability and related security commitments and required system availability and related security obligations of its customers and other external users are posted on the entity’s Web site and/or as part of the entity’s standard services agreement. Service-level agreements are reviewed with the customer annually.
企業のシステムの可用性と関連するセキュリ ティの約束と顧客や外部のユーザーに要求されるシステムの可用性と関連するセキュリティ義務は企業のウェブサイトや（or または）標準的なサービス合意に記載される。サービスレベル合意は顧客によって毎年確認される。

For its internal users (employees and contractors), the entity’s policies relating to system availability and security are reviewed with new employees and contractors as part of their orientation, and the key elements of the policies and their impact on the employee are discussed. New employees must sign a statement signifying that they have read, understand, and will follow these policies. Each year, as part of their performance review, employees must reconfirm their understanding of and compliance with the entity’s policies.
Obligations of contractors are detailed in their contract.
インターネットユーザー（従業員と請負者）にとってシステムの可用性とセキュリティに関するポリシーは新規雇用者と請 負者にオリエンテーションの一環として確認される。そしてポリシーの鍵となる要素とそれらの従業員への影響について議論される。新規雇用者はこれらのポリ シーを読み終え、理解し、従うことを確認した声明文に署名する。毎年、パフォーマンスレビューの一部として従業員はポリシーの理解と遵守を再確認する。
請負人の義務は契約に詳述される。
A security awareness program has been implemented to communicate the entity’s IT security policies to employees.
セキュリティ喚起プログラムは従業員への ITセキュリティポリシーの伝達に実装される。
The entity publishes its IT security policies on its corporate intranet.
ITセキュリ ティポリシーは社内のイントラネットに掲出される。