公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年5月12日水曜日

基準2.4

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準2.4です。

Criteria 2.4
The process for informing the entity about system availability issues and breaches of system security and for submitting complaints is communicated to authorized users.

基準 2.4
企業へのシステムの可用性に関することやシステムセキュリティの侵害を知らせるプロセスと苦情の提出プロセスは権限のあ るユーザーに伝達される。

Illustrative Controls
The process for customers and external users to inform the entity of system availability issues, possible security breaches, and other incidents is posted on the entity’s Web site and/or is provided as part of the new user welcome kit.
The entity’s user training program includes modules dealing with the identification and reporting of system availability issues, security breaches, and other incidents.
The entity’s security awareness program includes information concerning the identification of possible security breaches and the process for informing the security administration team.
Documented procedures exist for the identification and escalation of system availability issues, security breaches, and other incidents.

統制の実例
顧客や外部のユーザーへ、システムの可用性関連、潜在的なセキュリティの侵害、その他事故について案内するためのプロ セスはウェブサイトおよび/あるいは新ユーザー受入キットに含まれる。
ユーザー訓練プログラムには、システムの可用性関連の認識と報告、セキュリティの侵害、その 他事故を取り扱うモジュールが含まれる。
セキュリティ意識向上プログラムには、潜在的なセキュリティ侵害の認識とセキュリティ管理チームへの通知プロセスに関し た情報が含まれる。
シ ステムの可用性に関することやセキュリティ侵害、その他事故の認識とエスカレーションの明文化された手続が存在する。

0 件のコメント:

コメントを投稿