公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年6月25日金曜日

Processing Integrity Principle and Criteria .22

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回はProcessing Integrity Principle and Criteriaの.22 です。

.22 The risks associated with processing integrity are that the party initiating the transaction will not have the transaction completed or the service provided correctly, and in accordance with the desired or specified request. Without appropriate processing integrity controls, the buyer may not receive the goods or services ordered, receive more than requested, or receive the wrong goods or services altogether. However, if appropriate processing integrity controls exist and are operational within the system, the buyer can be reasonably assured that the correct goods and services in the correct quantity at the correct price are received when promised. Processing integrity addresses all of the system components including procedures to initiate, record, process, and report the information, product, or service that is the subject of the engagement. The nature of data input in e-commerce systems typically involves the user entering data directly over Web-enabled input screens or forms, whereas in other systems, the nature of data input can vary significantly. Because of this difference in data input processes, the nature of controls over the completeness and accuracy of data input in e-commerce systems may be somewhat different than for other systems. The illustrative controls outlined in the following table identify some of these differences.

.22 処理の完全性に関するリスクとは、取引を開始した当事者が完全な取引を保持できない、または、正しくサービスが提供されない、そして欲求または特定の要求 の基づいていることである。適切な処理の完全性の統制なしでは、買い手は注文した商品やサー ビスを受け取ることができなかったり、要求より多いまたは不良な商品やサービスを受け取ることになるかも知れない。しかしながら、もし適切な処理の完全性 が存在し、システムで運用されていれば、買い手は約定すると正しい商品とサービスを適切な量の適切な価格で受け取ることを合理的に保証される。処理の完全性とは全てのシステムコ ンポーネントが関与の対象となる情報・製品・サービスの開始・記録・過程・報告手順を含むことを言う。eコマースシステムで入力されたデーターの性質は、典型的に、ユーザーがWeb対応の画面またはフォームで直接入力した データーを意味し、一方、他のシステムでは入力データーの性質は大幅に異なる。データー入力過程の違いによってeコマースシステムでのデーター入力の完全 性と正確性の統制は他のシステムとは何か異なるかもしれない。統制の実例の概要の以下の表はこれらの差異を識別する。

2010年6月23日水曜日

Processing Integrity Principle and Criteria .21

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回はProcessing Integrity Principle and Criteriaの.21 です。

Processing Integrity Principle and Criteria

処理の完全 性の原則と基準

.21 The processing integrity principle refers to the completeness, accuracy, timeliness, and authorization of system processing. Processing integrity exists if a system performs its intended function in an unimpaired manner, free from unauthorized or inadvertent manipulation. Completeness generally indicates that all transactions and services are processed or performed without exception, and that transactions and services are not processed more than once. Accuracy includes assurances that key information associated with the submitted transaction will remain accurate throughout the processing of the transaction and the transaction or services are processed or performed as intended. The timeliness of the provision of services or the delivery of goods is addressed in the context of commitments made for such delivery. Authorization includes assurances that processing is performed in accordance with the required approvals and privileges defined by policies governing system processing.
.21 処理の完全性の原則と基準は完全性、正確性適時性そしてシステム処理の権限について言及する。処理の完全性はシステムが意図した機能で動作し、不正または不注意な操作がなければ存在する。完全さは一般的に全ての取引とサービスが例外なく処理または動作されていることを示し、取引とサービスは2回以上処理さ れずに動作することを示す。正確性は、送信された取引に関連づけられた重要情報が取引の処理中正 確であることと取引またはサービスが意図した処理または動作をすることの保証を含むサービスの提供または商品の配達の適時性は提供のためになされた約束の状況によって説明される。
承認は、処理が求められる承認とシステ ム処理を統括するポリシーにより定義された権限に基づき動作することの保証を含む。

2010年6月22日火曜日

基準 4.3

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 4.3です。

Criteria 4.3
Environmental and technological changes are monitored and their effect on system availability and security is assessed on a timely basis.
基準 4.3
環境と技術的な変更は監視され、それらのシステムの可用性とセキュリティへの影響は適時に評 価されている。
Illustrative Controls

統制の実例
The entity’s data center facilities include climate and environmental monitoring devices. Deviations from optimal performance ranges are escalated and resolved.データセンター施設には気候と環境の監視装置が含まれる。最適なパフォーマンスの範囲からの逸脱は上申され解決され る。
Senior management, as part of its annual IT planning process, considers developments in technology and the impact of applicable laws or regulations on the entity’s availability and related security policies.上級管理者は、年度IT計画策定過程の一部として技術開発と適用される法令や 可用性の規則、関連するセキュリティポリシーへの影響を考慮する。
The entity’s customer service group monitors the impact of emerging technologies, customer requirements, and competitive activities.
顧 客サービスグループは新たな技術や顧客の要求、競合の活動の影響を監視する。

2010年6月21日月曜日

基準 4.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 4.2です。

Criteria 4.2
There is a process to identify and address potential impairments to the entity’s ongoing ability to achieve its objectives in accordance with its defined system availability and related security policies.
定義されたシステムの可用性と関連 するセキュリティポリシーに基づき目的を達成するための継続能力への潜在的な障害の識別と対処のプロセスがある。

基準 4.2

Network performance and system processing are monitored using system monitoring tools by onsite operations staff 24 hours a day, 7 days a week. Network performance, system availability, and security incident statistics and comparisons to approved targets are accumulated and reported to the IT steering committee monthly.
ネットワークパフォーマンスとシ ステム処理はシステム監視ツールを用いてオンサイトオペレーションスタッフによって24時間週7日監視される。ネットワークパフォーマンス、システムの可 用性、セキュリティ事故統計と承認されたターゲットとの比較は蓄積されIT運営委員会へ毎月報告される。
Future system performance, availability, and capacity requirements are projected and analyzed as part of the annual IT planning and budgeting process.
将来のシステムパフォーマンス、可用性、キャパシティの要求は、年度のIT計画と予算編成過程の一部として見積もられ 分析される。
Logs are analyzed to identify trends that may have a potential impact on the entity’s ability to achieve its system availability and related security objectives.
記録(ログ)は分析され、システムの可用性と関連するセキュリティ目的を達成する能力への潜在的影響の傾向が識別され る。
Monthly IT staff meetings are held to address system performance, availability, capacity, and security concerns and trends; findings are discussed at quarterly management meetings.
月次ITスタッフミーティングはシステムパ フォーマンス、能力、キャパシティ、セキュリティ関連事項と傾向について話されるために開催される。発見事項は四半期毎の経営者ミーティングにて議論され る。

2010年6月17日木曜日

基準 4.0、4.1

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 4.0、4.1です。

Criteria
4.0
Monitoring: The entity monitors the system and takes action to maintain compliance with its defined system availability policies.
基準 4.0監視:システムを監視し、システム可用性ポリシーを遵守した保守の行動をとる。
Criteria 4.1
The entity’s system availability and security performance is periodically reviewed and compared with the defined system availability and related security policies.
基準 4.1
システムの可用性とセキュリティーパフォーマンスは定期的に確認され、定義されたか用性と関連するセキュリティポリ シーと比較される。

Illustrative Controls
統制の実例
Network performance and system processing are monitored using system monitoring tools by onsite operations staff 24 hours a day, 7 days a week. Network performance, system availability, and security incident statistics and comparisons to approved targets are accumulated and reported to the IT steering committee monthly.
ネットワークパフォーマンスとシステム処理はオンサ イトオペレーションスタッフによって24時間・週7日システム監理ツールを使用して監視される。ネットワークのパフォーマンス、システムの可用性、セキュ リティ事故統計と認定されたターゲットとの比較は蓄積されIT運営委員会に月例で報告される。
The customer service group monitors system availability and related customer complaints. It provides a monthly report of such matters together with recommendations for improvement, which are considered and acted on at the monthly IT steering committee meetings.
顧客サービスグループは可用性 と顧客の遵法に関連するシステムを監視する。月例IT運営委員会の会合で考慮され行動された 事項について改善の提言とともに月例報告が提供される。
The information security team monitors the system and assesses the system vulnerabilities using proprietary and other tools. Potential risk is evaluated and compared to service-level agreements and other obligations of the entity. Remediation plans are proposed and implementation is monitored.
情報セキュリティチームはシステムを監視し、所有権およびその他のツールを使いシステムの脆弱性を評価する。潜在的リスクは評価されサービスレベル合意や他の義務と比較される。修復計画が提案 され、実装が監視される。
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. The internal audit function conducts system availability and system security reviews as part of its annual audit plan. Results and recommendations for improvement are reported to management.
第三者と定期的なセキュリティ確認と脆弱 性評価指揮の契約をする。内部監査機能はシステムの可用性とシステムセキュリティ確認を年度監査計画の一部として指揮する。結果および改善提言は経営者に 報告される。

2010年6月16日水曜日

基準3.15

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.15です。

Criteria 3.15
Procedures exist to provide that emergency changes are documented and authorized (including after-the-fact approval).

基準3.15
緊急の変更がドキュメント化・許可されることを供給する手順が存在する。(事後承認を含む)

Illustrative Controls
統制の実例
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
変更要求、システムメンテナンス、サプライヤーによるメン テナンスは標準化され、ドキュメント化された変更管理手順に従う。変更は優先度に従って分類 されランク付けされ、緊急事項を取り扱う手順が存在する。
Change requestors are kept informed about the status of their requests.
変更要求者は自身の要求の状態を案内され続ける。
Emergency changes that require deviations from standard procedures are logged and reviewed by IT management daily and reported to the affected line-of-business manager. Permanent corrective measures follow the entity’s change management process, including line-of-business approvals.
標準的な手順か らの逸脱を必要とする緊急の変更は記録され、IT管理者によって毎日確認さ れ、影響を受けるビジネスラインの管理者へ報告される。永続的な是正措置はビジネスラインの 承認を含む変更管理プロセスに従う。

2010年6月15日火曜日

基準 3.14

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.14です。

Criteria 3.14
Procedures exist to provide that only authorized, tested, and documented changes are made to the system.

基準3.14
許可され、テストされ、文書化された変更のみが加えられることを供給する手順が存在する。
Illustrative Controls
統制の実例
Senior management has implemented a division of roles and responsibilities that segregates incompatible functions.
上級管理職は職務の分離と互換性の無い機能を分離する責任がある。
The entity’s documented systems development methodology describes the change initiation, software development and maintenance, and approval processes, as well as the standards and controls that are embedded in the processes. These include programming, documentation, and testing standards.
文書化されたシステムの開発方法論には、プロセスに組み込まれた基準と統制と同様に、変更の開始、ソフトウェアの開発と 保守、承認プロセスが記述される。
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
変更要求、システム保 守、サプライヤーの保守は標準化され、文書の変更管理手続に従う。変更は優先度によって分類されランク付けされ、緊急事項を取り扱う手順がある。
Change requestors are kept informed about the status of their requests.
変更要求者は彼らの要求の状況を案内され続ける。
Changes to system infrastructure and software are developed and tested in a separate development or test environment before implementation into production.
システムインフラとソフトウェアの変更は、分離された開発またはテスト環境にて実機への実装前に開発・テストされる。
As part of the change control policies and procedures, there is a “promotion” process (for example, from “test” to “staging” to “production”).
変更統制ポリシーと手順の一部として、展開プロセスがあ る。(例:テストから実機への足場)
Promotion to production requires the approval of the business owner who sponsored the change and the manager of computer operations.
実機への展開には提供者であるビジネスの オーナーとコンピューターオペレーションの管理者の承認が必要となる。
When changes are made to key systems components, there is a "backout" plan developed for use in the event of major interruption(s).
重要なシステム コンポーネントに変更を行う場合、大規模な阻害事象発生時に使用するため開発された巻き戻し計画がある。

2010年6月14日月曜日

基準 3.13

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.13です。

Maintainability-related criteria applicable to the system’s availability
システムの可用性に適用可能な保守性に関する基準

Criteria 3.13
Procedures exist to maintain system components, including configurations consistent with the defined system availability and related security policies.

基準3.13
定義されたシステムの可用性と関連するセキュリティポリシーと一致した 設定を含むシステムコンポーネントを保守するための手順が存在する。

Illustrative Controls
統制の実例
Entity management receives a third-party opinion on the adequacy of security controls, and routinely evaluates the level of performance it receives (in accordance with its contractual service-level agreement) from the service provider that hosts the entity’s systems and Web site.
経営 者はセキュリティ統制の妥当性についての第三者意見を受け取り、定期的にシステムとWebサイトをホストしているサービスプロバイダーから受け取るパ フォーマンスレベルを評価する。
The IT department maintains a listing of all software and the respective level, version, and patches that have been applied.
IT部門は全てのソフトウェアとそれぞれのレベル、バージョ ン、適用されたパッチの一覧を保守する。
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
変更要求、システム保守、サプライヤーの保守は標準化さ れ、文書化された変更管理手順に従う。変更は分類され、優先順位によってランク付けられ、緊急事項を取り扱う手順が用意されている。
Change requestors are kept informed about the status of their requests.
変更の要求者は自身の要求の状況を案内され続ける。
Staffing, infrastructure, and software requirements are periodically evaluated and resources are allocated consistent with the entity’s availability and related security policies.
人材、インフラ ストラクチャ、およびソフトウェアの要件は、定期的に評価され、リソースは可用性と関連するセキュリティポリシーに一致して割り当てられる。
System configurations are tested annually and evaluated against the entity’s processing performance, availability, and security policies,and current service-level agreements. An exception report is prepared and remediation plans are developed and tracked.
システム設定は毎年テストされ、処理パフォーマンスと可用性とセキュリティポリシーと現在のサービスレベル合意に対して 評価される。例外 レポートが 用意され、改善計画が開発され、追跡される。
The IT steering committee, which includes representatives from the lines of business and customer support, meets monthly and reviews anticipated, planned, or recommended changes to the entity’s availability and related security policies, including the potential impact of legislative changes.
ビジネスラインと顧客サポートの代表を含むIT運営委員会は毎月会合し、予想と計画、または推奨された可用性と法改正の潜在的な影響を含んだ関連するセキュリティポリシーへの変更を確認する。

2010年6月12日土曜日

基準 3.12

※ワールドカップのオープニングゲームを見ていたら更新を忘れました。。。


引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.12です。

Criteria 3.12
Procedures exist to provide that personnel responsible for the design, development, implementation, and operation of systems affecting availability and security are qualified to fulfill their responsibilities.

基準3.12
デザイン、開発、実装の社員の責任を供給する手順が存在し、可用性とセキュリティに影響するシステムのオペレーション は責任を果たすために資格化されている。

Illustrative Controls

統制の実例

The entity has written job descriptions specifying the responsibilities and academic and professional requirements for key job positions.
責任と学力水準と専門性の要求を特定した職務内容を記述する。
Hiring procedures include a comprehensive screening of candidates for key positions and consideration of whether the verified credentials are commensurate with the proposed position. New personnel are offered employment subject to background checks and reference validation.
採用手続には、重要ポジションの候補者の包括的なスクリーニングと検査情報が提案のポジションに見合っているかどうか の考慮が含まれる。
Candidates, including internal transfers, are approved by the line-of-business manager before the employment position is offered.
内部異動者を含む候補者は、採用ポジションの提示の前に、ビジネス ラインのマネージャーによって承認されている。
Periodic performance appraisals are performed by employee supervisors and include the assessment and review of professional development activities.
定期的 なパフォーマンス査定は、従業員の監督者によって実行され、専門性開発活動の評価と確認が含まれる。
Personnel receive training and development in system availability concepts and issues.
社員はシステム可用性コンセプトと事項のトレーニングと開発を受ける。
Procedures are in place to provide alternate personnel for key system availability functions in case of absence or departure.
不 在または離脱に備え、重要なシステム能力機能について代替社員を供給する手続がある。

2010年6月10日木曜日

基準 3.11

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.11です。

Criteria related to the system components used to achieve the objectives

目的達成に使用されるシステムコンポーネントに関する 基準

Criteria 3.11
Design, acquisition, implementation, configuration, modification, and management of infrastructure and software related to system availability and security are consistent
with defined system availability and related security policies.

基準3.11
インフラとシス テム可用性とセキュリティに関連するソフトウェアのデザイン、取得、実装、設定、改変、管理は定義されたシステム化用性と関連するセキュリティポリシーと 一致する。


Illustrative Controls
統制の実例
The entity has adopted a formal systems development life cycle (SDLC) methodology that governs the development, acquisition, implementation, and maintenance of computerized information systems and related technology.
コンピュータ化された情報システムと関連するテクノロジーの開発、取得、実装、保守管理する正式なシステム開発ライフサ イクル(SDLC)方法論を取り入れる。
The SDLCm ethodology includes a framework for:
SDLC方法論は以下のフレームワークを含む:
  • Establishing performance level and system availability requirements based on user needs.
  • ユーザーニーズに基づいたパフォーマンスレベル とシステム化用性の要求の確立
  • Maintaining the entity’s backup and disaster recovery planning processes in accordance with user requirements.
  • ユーザー要求に従ったバックアッ プの保守と災害復旧計画
  • Classifying data and creating standard user profiles that are established based on an assessment of the business impact of the loss of security; assigning standard profiles to users based on needs and functional responsibilities.
  • セキュリティが欠けることによるビジネスへの影響の見積に基づき確立された、データーの 分類と標準ユーザープロフィールの作成;ユーザーのニーズと責任の機能に基づいて、標準のプロフィールを割り当てる
  • Testing changes to system components to minimize the risk of an adverse impact to system performance and availability.
  • テストすることによって、システムコンポーネントはシステムのパフォーマンスと可用性への悪影響のリスクが最小限となる
  • Development of “backout” plans before implementation of changes.
  • 「取り消し」の開発は変更の実装前に計画する
Owners of the information and data establish processing performance and availability benchmarks, classify its sensitivity, and determine the level of protection required to maintain an appropriate level of security.
情報とデータの所有者は、処理と可用性のベンチマーク、機微な情報の機密扱い、適切なセキュリティレベルを保持するために求められる保護レベ ルの決定の処理を確立する。
The security administration team reviews and approves the architecture and design specifications for new systems development and/or acquisition to ensure consistency with the entity’s availability and related security policies.
セキュリティ管理チームは新しいシステム開発と/または関連するセキュ リティポリシーのアーキテクチャーとデザインの仕様を確認し、認定する。
Changes to system components that may affect systems processing performance, availability, and security require the approval of the security administration team.
システム処理パフォーマンスや可用性、セキュリティに影響する変更は、セキュリティ管理チームが認めることを要する。
The access control and operating system facilities have been installed, including the implementation of options and parameters, to restrict access in accordance with the entity’s security objectives, policies, and standards.
アクセスコントロールとオペレーティングシステム設備が、セ キュリティ目的・ポリシー・標準に従ってアクセスを制限するために、オプションとパラメーターの実装を含めて、構築される。
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. Results and recommendations for improvement are reported to management.
第三者 に定期的なセキュリティ確認と脆弱性見積りの実施を委託する。結果と改善提言は経営者に報告される。

2010年6月9日水曜日

基準 3.10

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.10です。

Criteria 3.10
基準 3.10
Procedures exist to provide that issues of noncompliance with system availability and related security policies are promptly addressed and that corrective measures are taken on a timely basis.
システムの可用性 および関連するセキュリティポリシーを遵守しないという問題が速やかに説明されることと是正措置が適時にとられることを提供する手順が存在する。
Illustrative Controls
統制の実例
System processing and security-related issues are recorded and accumulated in a problem report. Corrective action is noted and monitored by management.
システム処理とセキュリティ関連の問題は問題報告に記録され蓄積される。是正措置は経営者によって気付かれ監視され る。
As a part of the monthly monitoring of the site, availability and site usage reports are compared to the disclosed availability levels. This analysis is used to forecast future capacity, reveal any performance issues, and provide a means of fine-tuning the system.
月例のサイト監視の一部として、可用性とサイト有用性報告は公開されている有用性レ ベルと比較される。この分析は将来の許容量予想すること、あらゆるパフォーマンス問題を明らかにすること、システムのファインチューニングの手段を供給す ることに使用される。
Standard procedures exist for the documentation, escalation, resolution, and review of problems.
文 書化、エスカレーション、解決、問題の確認の標準手順が存在する。
On a routine basis, security policies, controls, and procedures are audited by the internal audit department. Results of such examinations are reviewed by management, a response is prepared, and a remediation plan is put in place.
定期的にセキュリティポリシー、統制、手順は内部監査部門によって監査される。このような試験の結果は経営者によって確認され、応答が用意され、改善計画が配備される。
Entity management evaluates the level of performance it receives from the Internet service provider (ISP) which hosts the entity Web site. This evaluation is done by evaluating the provider’s actual performance as compared to agreed service-level commitments including measures for system processing performance levels, availability, and security controls the ISP has in place.
経営者ウェブサイトを置いているイ ンターネットサービスプロバイダ(ISP)から受け取るパフォーマンスのレベルを評価する。この評価はプロバイダの実際のパフォーマンスを、システム処理 パフォーマンス、可用性、ISPが装備するセキュリティ統制の評価基準を含む、合意したサービスレベルコミットメントと比較して評価することで実施される。
Management receives an annual independent third-party report on the adequacy of internal controls from its Web-hosting service provider.
経営者はウェブホスティングサービス プロバイダから、年次で独立した第三者の内部統制の妥当性についての報告を受け取る。
Management reviews these reports and follows up with the service provider management on any open items or causes for concern.
経営者はこれらの報告を確 認し、サービスプロバイダとともにあらゆる未確認事項や懸念要因についてフォローアップする。

2010年6月8日火曜日

基準 3.9

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.9です。

Criteria 3.9
基準 3.9
Procedures exist to identify, report, and act upon system availability issues and related security breaches and other incidents.
システムの可用性の問題および関連するセキュ リティの侵害や他の事件についての識別、報告、行動の手順が存在する。

Illustrative Controls
統制の実例
Users are provided instructions for communicating system availability issues, potential security breaches, and other issues to the help desk or customer service center.
ユーザーはシステムの可用性に関する事柄、潜在的セキュリティ侵害、ヘルプデスクまたはカスタマーサービスセンターに対 するその他の事項の伝達の案内が供給される。
Documented procedures exist for the escalation of system availability issues and potential security breaches that cannot be resolved by the help desk.
システム の可用性の問題とヘルプデスクで解決できない潜在的なセキュリティ侵害について、エスカレーションのためのドキュメント化された手順が存在する。
Network performance and system processing are monitored using system monitoring tools by onsite operations staff 24 hours a day, 7 days a week. Documented procedures exist for the escalation and resolution of performance and processing availability issues.
ネッ トワークのパフォーマンスとシステムの処理は、システム監視ツールを使用してオンサイト運用スタッフによって24時間、週7日監視される。パフォーマンス と可用性の問題のエスカレーションと解決のためのドキュメント化された手順が存在する。
Intrusion detection and other tools are used to identify, log, and report potential security breaches and other incidents. The system notifies the security administration team and/or the network administrator via e-mail and pager of potential incidents in progress.
侵入検知お よびその他のツールは識別するため、記録、潜在的なセキュリティ侵害や他の事件の報告に使用される。システムはEメールとポケベルを介してセキュリティ管 理チームと(または)ネットワーク管理者へ潜在的事件が進行中であることを注意喚起する。
Incident logs are monitored and evaluated by the information security team daily.
Documented incident identification and escalation procedures are approved by management.

事件の記録は情報セキュリティチームにより毎日監視され評価される。ドキュ メント化された事件の識別とエスカレーション手順は経営者によって承認される。
Network performance, system availability, and security incident statistics and comparisons to approved targets are accumulated and reported to the IT steering committee monthly.
ネットワークパフォーマンス、システムの可用性、セキュリ ティ事件統計と目的を承認するための比較は蓄積され、毎月IT運営委員会へ毎月報告される。
System performance and capacity analysis and projections are completed annually as part of the IT planning and budgeting process.
システムパ フォーマンスと許容量の分析と予想は毎年のIT計画と予算策定過程の一部として完成する。

2010年6月4日金曜日

基準 3.8

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.8です。

Criteria 3.8
基準 3.8
Encryption or other equivalent security techniques are used to protect user authentication information and the corresponding session transmitted over the Internet or other public networks.
暗号ま たは他の同等のセキュリティテクニックがユーザー認証情報保護とインターネットや他の公衆ネットワークから送信された通信のセッションに使用される。

Illustrative Controls
統制の実例
The entity uses 128-bit secure sockets layer (SSL) encryption for transmission of private or confidential information over public networks, including user ID and password. Users are required to upgrade their browser to the most current version tested and approved for use by the security administration team to avoid possible security problems.
ユーザーIDとパスワードを含むプライベートまたは機密の情報を公衆ネットワーク越しに送信する場合は128ビットのセ キュアソケットレイヤー(SSL)暗号を使用する。
Account activity, subsequent to successful login, is encrypted through a 128-bit SSL session. Users are logged out on request (by selecting the “Sign-out” button on the Web site) or after 10 minutes of inactivity.
ログイン成功 後のアカウントの通信は128ビットSSLセッションで暗号化される。ユーザーはリクエスト(「サインアウト」ボタンをウェブサイトで選択する)するか非 アクティブから10分後にログアウトされる。

2010年6月3日木曜日

基準 3.7

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.7です。

Criteria 3.7
基準 3.7
Procedures exist to protect against infection by computer viruses, malicious codes, and unauthorized software.
コンピューターウィルス、悪意のコード、未承認のソフトウェアの感染に対する 防御手順が存在する。

Illustrative Controls

統制の実例
In connection with other security monitoring, the security administration team participates in user groups and subscribes to services relating to computer viruses.
他のセキュリティ監視とのつながりの中でセキュリティ管理チームはユーザーグループに参加し、コンピューターウィルス関 連のサービスに申し込む。
Antivirus software is in place, including virus scans of incoming email messages. Virus signatures are updated at least weekly.
受信メールのウィルススキャンを含んだアンチウィルスソフトウェアが導入されてい る。ウィルス署名は少なくとも週毎に更新されている。
Any viruses discovered are reported to the security team and an alert is created for all users notifying them of a potential virus threat.
アンチウィルスにより発見さ れたものはセキュリティチームに報告され、全てのユーザーに対してウィルスの潜在的脅威への注意喚起の警告が作成される。

2010年6月2日水曜日

基準 3.6

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.6です。

Criteria 3.6
基準 3.6
Procedures exist to protect against unauthorized logical access to the defined system.
定義されたシステムへの未承認の論理的アクセスに対する防御手順が存在する。

Illustrative Controls
統制の実例
Login sessions are terminated after three unsuccessful login attempts.
ログインセッションはログ インの試みが三回不成功であると終了される。
Terminated login sessions are logged for follow-up by the security administrator.
終了された ログインセッションはセキュリティー管理者によるフォローアップのために記録される。
Virtual private networking (VPN) software is used to permit remote access by authorized users. Users are authenticated by the VPN server through specific “client” software and user ID and passwords.
バー チャルプライベートネットワーク(VPN)ソフトウェアは権限のあるユーザーによるリモートアクセスを許可するために使用される。ユーザーは特定のクライ アントソフトウェアとユーザーIDとパスワードを通じてVPNサーバーによって認証される。
Firewalls are used and configured to prevent unauthorized access.
ファ イアウォールは未承認のアクセスを防ぐために使用・設定される。
Firewall events are logged and reviewed daily by the security administrator.
ファ イアウォールの出来事は記録され毎日セキュリティ管理者によって確認されます。
Unneeded network services (for example, telnet, ftp, and http) are deactivated on the entity’s servers. A listing of the required and authorized services is maintained by the IT department. This list is reviewed by entity management on a routine basis for its appropriateness for the current operating conditions.
不要なネットワークサービス(例えば、telnet, ftp, http)はサーバー上で使用不可にされる。要求され承認されたサービスのリストはIT部門により保守される。このリストは現在の動作条件 の妥当性に基づき経営者により定期的に確認される。
Intrusion detection systems are used to provide continuous monitoring of the entity’s network and early identification of potential security breaches.
侵入検知システムは継続的なネットワーク監視と早期の潜在的セキュリティ侵害の特定のために使用される。
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. Results and recommendations for improvement are reported to management.
第三者と定期的なセキュ リティのレビューと脆弱性評価を実施する契約を結ぶ。結果と改善提言は経営者 へ報告される。

2010年6月1日火曜日

基準 3.5

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.5です。

Criteria 3.5
基準 3.5 
Procedures exist to restrict physical access to the defined system including, but not limited to, facilities, backup media, and other system components such as firewalls,
routers, and servers.

施 設、バックアップメディア、ファイアウォール、ルーター、サーバーといった他のシステムコンポーネントを含む(が限定されない)定義されたシステムへの物 理的アクセスを制限する手順が存在する。

Illustrative Controls

統制の実例
Physical access to the computer rooms, which house the entity’s IT resources, servers, and related hardware such as firewalls and routers, is restricted to authorized individuals by card key systems and monitored by video surveillance.
IT資源、サーバー、ファイアウォールや ルーターといった関連するハードウェアのあるコンピュータールームへの物理的アクセスはカードキーシステムやビデオ監視によりモニタされることによって権 限のある個人に制限される。
Physical access cards are managed by building security staff. Access card usage is logged. Logs are maintained and reviewed by building security staff.
物理的アクセ スカードはビルセキュリティスタッフにより管理される。アクセスカードの利用は記録される。記録は保持され、ビルセキュリティスタッフにより確認される。
Requests for physical access privileges to the entity’s computer facilities require the approval of the manager of computer operations.
コンピュータ施設への物理的なアクセス権限の要求は、コ ンピュータの操作の管理者の承認が必要である。
Documented procedures exist for the identification and escalation of potential security breaches.
識別および潜在的なセキュリティ侵害のエスカ レーションの文書化された手順が存在する。
Offsite backup data and media are stored at service provider facilities.
Access to offsite data and media requires the approval of the manager of computer operations.

オフサイトバックアップデータと媒体はサービスプロバイダの施設に保管される。
オフサイトデータと媒体へのアクセスには コンピューターの操作のマネージャーの承認が必要である。