基準2.5

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準2.5です。

Criteria 2.5
Changes that may affect system availability and system security are communicated to management and users who will be affected.
基準 2.5
システムの可用性とシステムセ キュリティに影響する変更は経営者と影響を受けるであろうユーザーに伝達される。

Illustrative Controls
Changes that may affect system availability, customers and users and their security obligations, or the entity’s security commitments are highlighted on the entity’s Web site.
Changes that may affect system availability and related system security are reviewed and approved by affected customers under the provisions of the standard services agreement before implementation of the proposed change.
Planned changes to system components and the scheduling of those changes are reviewed as part of the monthly IT steering committee meetings.
Changes to system components, including those that may affect system security, require the approval of the manager of network operations and/or the security administration team, before implementation.
There is periodic communication of system changes, including changes that affect availability and system security.
Changes that affect system security are incorporated into the entity’s ongoing security awareness program.
統制の実例
システムの可用性や顧客およびユーザーに影響する変更と彼らのセキュリティ義務または企業のセキュリティの約束事項は ウェブサイトで強調される。
システムの可用性と関連するシステムセキュリティに影響するおそれのある変更は影響を受ける顧客によって、提案された変 更の実装前に、標準的なサービス契約の規定のもと確認され承認される。
システムコンポーネントへの計画された変更とそれらの変更のスケジュールは月例IT運営委員 会の中で確認される。
システムセキュリティに影響するものも含めたシステムコンポーネントへの変更は、実装前に、ネットワークオペレーション の管理者と／またはセキュリティ管理チームの承認を求める。
可用性とシステムセキュリティに影響するものを含めたシステム変更の定期的な伝達が存在する。
システムセキュリティに影響する変更は継 続的なセキュリティ注意喚起プログラムに組み込まれる。