公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年6月10日木曜日

基準 3.11

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.11です。

Criteria related to the system components used to achieve the objectives

目的達成に使用されるシステムコンポーネントに関する 基準

Criteria 3.11
Design, acquisition, implementation, configuration, modification, and management of infrastructure and software related to system availability and security are consistent
with defined system availability and related security policies.

基準3.11
インフラとシス テム可用性とセキュリティに関連するソフトウェアのデザイン、取得、実装、設定、改変、管理は定義されたシステム化用性と関連するセキュリティポリシーと 一致する。


Illustrative Controls
統制の実例
The entity has adopted a formal systems development life cycle (SDLC) methodology that governs the development, acquisition, implementation, and maintenance of computerized information systems and related technology.
コンピュータ化された情報システムと関連するテクノロジーの開発、取得、実装、保守管理する正式なシステム開発ライフサ イクル(SDLC)方法論を取り入れる。
The SDLCm ethodology includes a framework for:
SDLC方法論は以下のフレームワークを含む:
  • Establishing performance level and system availability requirements based on user needs.
  • ユーザーニーズに基づいたパフォーマンスレベル とシステム化用性の要求の確立
  • Maintaining the entity’s backup and disaster recovery planning processes in accordance with user requirements.
  • ユーザー要求に従ったバックアッ プの保守と災害復旧計画
  • Classifying data and creating standard user profiles that are established based on an assessment of the business impact of the loss of security; assigning standard profiles to users based on needs and functional responsibilities.
  • セキュリティが欠けることによるビジネスへの影響の見積に基づき確立された、データーの 分類と標準ユーザープロフィールの作成;ユーザーのニーズと責任の機能に基づいて、標準のプロフィールを割り当てる
  • Testing changes to system components to minimize the risk of an adverse impact to system performance and availability.
  • テストすることによって、システムコンポーネントはシステムのパフォーマンスと可用性への悪影響のリスクが最小限となる
  • Development of “backout” plans before implementation of changes.
  • 「取り消し」の開発は変更の実装前に計画する
Owners of the information and data establish processing performance and availability benchmarks, classify its sensitivity, and determine the level of protection required to maintain an appropriate level of security.
情報とデータの所有者は、処理と可用性のベンチマーク、機微な情報の機密扱い、適切なセキュリティレベルを保持するために求められる保護レベ ルの決定の処理を確立する。
The security administration team reviews and approves the architecture and design specifications for new systems development and/or acquisition to ensure consistency with the entity’s availability and related security policies.
セキュリティ管理チームは新しいシステム開発と/または関連するセキュ リティポリシーのアーキテクチャーとデザインの仕様を確認し、認定する。
Changes to system components that may affect systems processing performance, availability, and security require the approval of the security administration team.
システム処理パフォーマンスや可用性、セキュリティに影響する変更は、セキュリティ管理チームが認めることを要する。
The access control and operating system facilities have been installed, including the implementation of options and parameters, to restrict access in accordance with the entity’s security objectives, policies, and standards.
アクセスコントロールとオペレーティングシステム設備が、セ キュリティ目的・ポリシー・標準に従ってアクセスを制限するために、オプションとパラメーターの実装を含めて、構築される。
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. Results and recommendations for improvement are reported to management.
第三者 に定期的なセキュリティ確認と脆弱性見積りの実施を委託する。結果と改善提言は経営者に報告される。

0 件のコメント:

コメントを投稿