基準 3.13

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.13です。

Maintainability-related criteria applicable to the system’s availability
システムの可用性に適用可能な保守性に関する基準

Criteria 3.13
Procedures exist to maintain system components, including configurations consistent with the defined system availability and related security policies.
基準3.13
定義されたシステムの可用性と関連するセキュリティポリシーと一致した 設定を含むシステムコンポーネントを保守するための手順が存在する。

Illustrative Controls
統制の実例
Entity management receives a third-party opinion on the adequacy of security controls, and routinely evaluates the level of performance it receives (in accordance with its contractual service-level agreement) from the service provider that hosts the entity’s systems and Web site.
経営 者はセキュリティ統制の妥当性についての第三者意見を受け取り、定期的にシステムとWebサイトをホストしているサービスプロバイダーから受け取るパ フォーマンスレベルを評価する。
The IT department maintains a listing of all software and the respective level, version, and patches that have been applied.
IT部門は全てのソフトウェアとそれぞれのレベル、バージョ ン、適用されたパッチの一覧を保守する。
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
変更要求、システム保守、サプライヤーの保守は標準化さ れ、文書化された変更管理手順に従う。変更は分類され、優先順位によってランク付けられ、緊急事項を取り扱う手順が用意されている。
Change requestors are kept informed about the status of their requests.
変更の要求者は自身の要求の状況を案内され続ける。
Staffing, infrastructure, and software requirements are periodically evaluated and resources are allocated consistent with the entity’s availability and related security policies.
人材、インフラ ストラクチャ、およびソフトウェアの要件は、定期的に評価され、リソースは可用性と関連するセキュリティポリシーに一致して割り当てられる。
System configurations are tested annually and evaluated against the entity’s processing performance, availability, and security policies,and current service-level agreements. An exception report is prepared and remediation plans are developed and tracked.
システム設定は毎年テストされ、処理パフォーマンスと可用性とセキュリティポリシーと現在のサービスレベル合意に対して 評価される。例外 レポートが 用意され、改善計画が開発され、追跡される。
The IT steering committee, which includes representatives from the lines of business and customer support, meets monthly and reviews anticipated, planned, or recommended changes to the entity’s availability and related security policies, including the potential impact of legislative changes.
ビジネスラインと顧客サポートの代表を含むIT運営委員会は毎月会合し、予想と計画、または推奨された可用性と法改正の潜在的な影響を含んだ関連するセキュリティポリシーへの変更を確認する。