公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年6月8日火曜日

基準 3.9

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.9です。

Criteria 3.9
基準 3.9
Procedures exist to identify, report, and act upon system availability issues and related security breaches and other incidents.
システムの可用性の問題および関連するセキュ リティの侵害や他の事件についての識別、報告、行動の手順が存在する。

Illustrative Controls
統制の実例
Users are provided instructions for communicating system availability issues, potential security breaches, and other issues to the help desk or customer service center.
ユーザーはシステムの可用性に関する事柄、潜在的セキュリティ侵害、ヘルプデスクまたはカスタマーサービスセンターに対 するその他の事項の伝達の案内が供給される。
Documented procedures exist for the escalation of system availability issues and potential security breaches that cannot be resolved by the help desk.
システム の可用性の問題とヘルプデスクで解決できない潜在的なセキュリティ侵害について、エスカレーションのためのドキュメント化された手順が存在する。
Network performance and system processing are monitored using system monitoring tools by onsite operations staff 24 hours a day, 7 days a week. Documented procedures exist for the escalation and resolution of performance and processing availability issues.
ネッ トワークのパフォーマンスとシステムの処理は、システム監視ツールを使用してオンサイト運用スタッフによって24時間、週7日監視される。パフォーマンス と可用性の問題のエスカレーションと解決のためのドキュメント化された手順が存在する。
Intrusion detection and other tools are used to identify, log, and report potential security breaches and other incidents. The system notifies the security administration team and/or the network administrator via e-mail and pager of potential incidents in progress.
侵入検知お よびその他のツールは識別するため、記録、潜在的なセキュリティ侵害や他の事件の報告に使用される。システムはEメールとポケベルを介してセキュリティ管 理チームと(または)ネットワーク管理者へ潜在的事件が進行中であることを注意喚起する。
Incident logs are monitored and evaluated by the information security team daily.
Documented incident identification and escalation procedures are approved by management.

事件の記録は情報セキュリティチームにより毎日監視され評価される。ドキュ メント化された事件の識別とエスカレーション手順は経営者によって承認される。
Network performance, system availability, and security incident statistics and comparisons to approved targets are accumulated and reported to the IT steering committee monthly.
ネットワークパフォーマンス、システムの可用性、セキュリ ティ事件統計と目的を承認するための比較は蓄積され、毎月IT運営委員会へ毎月報告される。
System performance and capacity analysis and projections are completed annually as part of the IT planning and budgeting process.
システムパ フォーマンスと許容量の分析と予想は毎年のIT計画と予算策定過程の一部として完成する。

0 件のコメント:

コメントを投稿