基準 4.0、4.1

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 4.0、4.1です。

Criteria 4.0
Monitoring: The entity monitors the system and takes action to maintain compliance with its defined system availability policies.
基準 4.0監視：システムを監視し、システム可用性ポリシーを遵守した保守の行動をとる。
Criteria 4.1
The entity’s system availability and security performance is periodically reviewed and compared with the defined system availability and related security policies.
基準 4.1
システムの可用性とセキュリティーパフォーマンスは定期的に確認され、定義されたか用性と関連するセキュリティポリ シーと比較される。

Illustrative Controls
統制の実例
Network performance and system processing are monitored using system monitoring tools by onsite operations staff 24 hours a day, 7 days a week. Network performance, system availability, and security incident statistics and comparisons to approved targets are accumulated and reported to the IT steering committee monthly.
ネットワークパフォーマンスとシステム処理はオンサ イトオペレーションスタッフによって24時間・週7日システム監理ツールを使用して監視される。ネットワークのパフォーマンス、システムの可用性、セキュ リティ事故統計と認定されたターゲットとの比較は蓄積されIT運営委員会に月例で報告される。
The customer service group monitors system availability and related customer complaints. It provides a monthly report of such matters together with recommendations for improvement, which are considered and acted on at the monthly IT steering committee meetings.
顧客サービスグループは可用性 と顧客の遵法に関連するシステムを監視する。月例IT運営委員会の会合で考慮され行動された 事項について改善の提言とともに月例報告が提供される。
The information security team monitors the system and assesses the system vulnerabilities using proprietary and other tools. Potential risk is evaluated and compared to service-level agreements and other obligations of the entity. Remediation plans are proposed and implementation is monitored.
情報セキュリティチームはシステムを監視し、所有権およびその他のツールを使いシステムの脆弱性を評価する。潜在的リスクは評価されサービスレベル合意や他の義務と比較される。修復計画が提案 され、実装が監視される。
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. The internal audit function conducts system availability and system security reviews as part of its annual audit plan. Results and recommendations for improvement are reported to management.
第三者と定期的なセキュリティ確認と脆弱 性評価指揮の契約をする。内部監査機能はシステムの可用性とシステムセキュリティ確認を年度監査計画の一部として指揮する。結果および改善提言は経営者に 報告される。