引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準2.3です。
Criteria 2.3
Responsibility and accountability for the entity’s system availability and related security policies and changes and updates to those policies are communicated to entity personnel responsible for implementing them.
基準 2.3
システムの可用性と関連するセキュリティポリシーの責務と説明責任、そして、それらのポリシーの変更と更新は、それらを 実装する責任のある社員に伝達される。
Illustrative Controls
The network operations team is responsible for implementing the entity’s availability policies under the direction of the chief information officer (CIO). The security administration team is responsible for implementing the related security policies.
The network operations team has custody of and is responsible for the day-to-day maintenance of the entity’s availability policies, and recommends changes to the CIO and the IT steering committee. The security administration team is responsible for the related security policies.
Availability and related security commitments are reviewed with the customer account managers as part of the annual IT planning process.
統制の実例
ネットワークオペレーションチームは最高情報責任者(CIO)の指示のもと、可用性のポリシーの実装に責任を持つ。セ キュリティ管理チームは関連するセキュリティポリシーの実装に責任を持つ。
ネットワークオペレーションチームは可用性ポリシーの日々の保守を監督し責任を持つ。またCIOとIT運営委員会に対して変更を提言する。セキュリティ管理 チームは関連するセキュリティポリシーに責任を持つ。
可用性と関連するセキュリティの約束は顧客アカウント管理者により年次IT計画策定プロセスの一部として確認される。
公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。
0 件のコメント:
コメントを投稿