公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年7月23日金曜日

処理の完全性の原則と基準の表の基準1.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準1.2です。

Criteria 1.2
基準 1.2
The entity’s system processing integrity and related security policies include, but may not be limited to, the following matters:
システム処 理の完全性と関連するセキュリティポリシーは以下の事柄を含む(しかし限定されるわけではない):
a. Identification and documentation of the system processing integrity and related security requirements of authorized users.
a. システム処理の完全性と関連するセキュリティの権限のあるユーザーからの要求に対する識別と文書化
b. Allowing access, the nature of that access, and who authorizes such access.
b. アクセスの許可、アクセスの種類、誰がそのようなアクセスを認めるのか
c. Preventing unauthorized access.
c. 権限のないアクセスの防御
d. The procedures to add new users, modify the access levels of existing users, and remove users who no longer need access.
d. 新規ユーザーを追加する、既存ユーザーのアクセスレベルを変更する、もはやアクセスする必要のないユーザーを削除する手順
e. Assignment of responsibility and accountability for system processing integrity and related security.
e. システム処理の完全性と関連するセキュリティーへの責務説明責任の割り当て
f. Assignment of responsibility and accountability for system changes and maintenance.
f. システム変更と保守の責務と説明責任の割り当て
g. Testing, evaluating, and authorizing system components before implementation.
g. システムコンポーネントの実装前のテスト、評価、承認
h. Addressing how complaints and requests relating to system processing integrity and related security issues are resolved.
h. どのようにシステム処理の完全性と関連するセキュリティ事項に対する不平や要望が解決されるかの取り組み
i. The procedures to handle errors and omissions and other system processing integrity and related security breaches and other incidents.
i. エラーと怠慢と他のシステム処理の完全性と関連するセキュリティ侵害と事件を取り扱う手順
j. Provision for allocation for training and other resources to support its system processing integrity and related system security policies.
j. 訓練とシステム処理の完全性と関連するシステムセキュリティーポリシーをサポートする他の資源の割り当ての供給
k. Provision for the handling of exceptions and situations not specifically addressed in its system processing integrity and related system security policies.
k. 例外およびシステム処理の完全性と関連するシステムセキュリティポリシーには具体的に述べられていない状況の取り扱いの供給
l. Provision for the identification of, and consistency with, applicable laws and regulations, defined commitments, service-level agreements, and other contracts.
l. 適用される法令と規則、定義された約束、サービスレベル合意、その他契約との一致と一貫性

Illustrative Controls
統制の実例
Management has assigned responsibilities for the implementation of the entity’s processing integrity and related security policies to the chief information officer (CIO). Others on the executive committee assist in the review, update, and approval of the policies as outlined in the executive committee handbook.
経営者は処理 の完全性と関連するセキュリティポリシーの実装の責任を最高情報責任者(CIO)へ割り当てる。他の経営委員会のメンバーはレビューや更新、ポリシーの承認について経営委員会ハンドブックに則り支援す る。
Ownership and custody of significant information resources (for example, data, programs, and transactions) and responsibility for establishing and maintaining system processing integrity and related security over such resources is defined.
重要な情報源(例:データ、プログラム、取引)の所有と監護とそれらのリソースに関するシステム処理の完全性と関連す るセキュリティの確立と維持の責任が定義されている。
The entity’s documented processing integrity and related security policies contain the elements set out in criterion 1.2.文書化された処理の完全性と関連す るセキュリティポリシーは基準1.2で設定された要素を含む。

2010年7月8日木曜日

処理の完全性の原則と基準の表 基準1.0、1.1

Processing Integrity Principle and Criteria Table
処理の完全性の原則と基準の表
.24 System processing is complete, accurate, timely, and authorized.
.24 システム処理は完全で、正確で、適時で、許可されている。

Criteria 1.0
Policies: The entity defines and documents its policies for the processing integrity of its system.

基準 1.0
ポリシー:システムの処理の完全性のポリシーを定義し、文書化する。

Criteria 1.1
The entity’s processing integrity and related security policies are established and periodically reviewed and approved by a designated individual or group.
基 準 1.1
処理の完全性と関連するセキュリティーと関連するセキュリティ ポリシーが存在し、定期的に決められた個人またはグループによって確認され、承認される。

Illustrative Controls
統制の実例
The entity’s documented systems development and acquisition process includes procedures to identify and document authorized users of the system and their processing integrity and related security requirements.
User requirements are documented in service-level agreements or other documents.
文書化されたシステムの開発と獲得手順には、承認されたシステムのユーザーと 彼らの処理の完全性および関連するセキュリティ要求を特定し記録する手順が含まれる。
ユーザーからの要求はサービスレベル合意または他の文書に記 載される。

The security officer reviews security policies annually and submits proposed changes as needed for approval by the information technology (IT) standards committee.
セキュリティ執行役員 はセキュリティポリシーを年次に確認し、情報技術(IT)標準委員会が同意した変更案を提示する。

2010年7月5日月曜日

Processing Integrity Principle and Criteria .23

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回はProcessing Integrity Principle and Criteriaの.23 です。

.23 Processing integrity differs from data integrity. Processing integrity does not automatically imply that the information stored by the system is complete, accurate, current, and authorized. If a system processes information inputs from sources outside of the system’s boundaries, an entity can establish only limited controls over the completeness, accuracy, authorization, and timeliness of the information submitted for processing. Errors that may have been introduced into the information and the control procedures at external sites are typically beyond the entity’s control. When the information source is explicitly excluded from the description of the system that defines the engagement, it is important to describe that exclusion in the system description. In other situations, the data source may be an inherent part of the system being examined, and controls over the completeness, accuracy, authorization, and timeliness of information submitted for processing would be included in the scope of the system as described. 

.23 処理の完全性 はデーターの完全性と異なる。処理の完全性はシステムに保存された情報が完全であり、正確であり、最新であり、正規であることを自動的に意味しない。 あるシステムがシステムの境界外からの入力情報を処理する場合、処理に送られる情報の完全性、正確性、承認、適時性について限定的な統制のみとなる。情報や統制手続 に外部サイトから取り入れられ るエラーは典型的に統制外となる。
情報源が明確に、契約を定義したシステムの説明か ら除外されている場合、システムの説明に除外されていることを記述することが重要である。別の状況では、データー源は検討されているシステムの固有部分で あり、処理に送られた情報の完全性、正確性、承認、適時性についての統制は記述されたシステムの範囲に含まれるであろう。