引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.14です。
Criteria 3.14
Procedures exist to provide that only authorized, tested, and documented changes are made to the system.
基準3.14
許可され、テストされ、文書化された変更のみが加えられることを供給する手順が存在する。
Illustrative Controls
統制の実例
Senior management has implemented a division of roles and responsibilities that segregates incompatible functions.
上級管理職は職務の分離と互換性の無い機能を分離する責任がある。
The entity’s documented systems development methodology describes the change initiation, software development and maintenance, and approval processes, as well as the standards and controls that are embedded in the processes. These include programming, documentation, and testing standards.
文書化されたシステムの開発方法論には、プロセスに組み込まれた基準と統制と同様に、変更の開始、ソフトウェアの開発と 保守、承認プロセスが記述される。
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
変更要求、システム保 守、サプライヤーの保守は標準化され、文書の変更管理手続に従う。変更は優先度によって分類されランク付けされ、緊急事項を取り扱う手順がある。
Change requestors are kept informed about the status of their requests.
変更要求者は彼らの要求の状況を案内され続ける。
Changes to system infrastructure and software are developed and tested in a separate development or test environment before implementation into production.
システムインフラとソフトウェアの変更は、分離された開発またはテスト環境にて実機への実装前に開発・テストされる。
As part of the change control policies and procedures, there is a “promotion” process (for example, from “test” to “staging” to “production”).
変更統制ポリシーと手順の一部として、展開プロセスがあ る。(例:テストから実機への足場)
Promotion to production requires the approval of the business owner who sponsored the change and the manager of computer operations.
実機への展開には提供者であるビジネスの オーナーとコンピューターオペレーションの管理者の承認が必要となる。
When changes are made to key systems components, there is a "backout" plan developed for use in the event of major interruption(s).
重要なシステム コンポーネントに変更を行う場合、大規模な阻害事象発生時に使用するため開発された巻き戻し計画がある。
公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。
0 件のコメント:
コメントを投稿