基準 3.5

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.5です。

Criteria 3.5
基準 3.5 
Procedures exist to restrict physical access to the defined system including, but not limited to, facilities, backup media, and other system components such as firewalls,
routers, and servers.
施 設、バックアップメディア、ファイアウォール、ルーター、サーバーといった他のシステムコンポーネントを含む（が限定されない）定義されたシステムへの物 理的アクセスを制限する手順が存在する。

Illustrative Controls
統制の実例
Physical access to the computer rooms, which house the entity’s IT resources, servers, and related hardware such as firewalls and routers, is restricted to authorized individuals by card key systems and monitored by video surveillance.
IT資源、サーバー、ファイアウォールや ルーターといった関連するハードウェアのあるコンピュータールームへの物理的アクセスはカードキーシステムやビデオ監視によりモニタされることによって権 限のある個人に制限される。
Physical access cards are managed by building security staff. Access card usage is logged. Logs are maintained and reviewed by building security staff.
物理的アクセ スカードはビルセキュリティスタッフにより管理される。アクセスカードの利用は記録される。記録は保持され、ビルセキュリティスタッフにより確認される。
Requests for physical access privileges to the entity’s computer facilities require the approval of the manager of computer operations.
コンピュータ施設への物理的なアクセス権限の要求は、コ ンピュータの操作の管理者の承認が必要である。
Documented procedures exist for the identification and escalation of potential security breaches.
識別および潜在的なセキュリティ侵害のエスカ レーションの文書化された手順が存在する。
Offsite backup data and media are stored at service provider facilities.
Access to offsite data and media requires the approval of the manager of computer operations.
オフサイトバックアップデータと媒体はサービスプロバイダの施設に保管される。
オフサイトデータと媒体へのアクセスには コンピューターの操作のマネージャーの承認が必要である。