公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年10月16日土曜日

処理の完全性の原則と基準の表の基準2.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.2です。

Criteria 2.2

基準 2.2
The processing integrity and related security obligations of users and the entity’s processing integrity and related security commitments to users are communicated
to authorized users.

処理の完全性と関連するユーザーのセキュリティ義務および企業の処理の完全性と関連するセキュリティのユーザーへの約束は権限のあるユーザーへ伝達される。

Illustrative Controls
統制の実例

The entity’s processing integrity and related security commitments and required processing integrity and related security obligations of its customers and other external users are posted on the entity’s Web site and/or as part of the entity’s standard services agreement.
企業の処理の完全性と関連するセキュリティの約束、要求される処理の完全性、関連する顧客と他の外部のユーザーのセキュリティの義務は企業のWebサイトまたは/若しくは企業の標準的なサービス合意に掲示される。
For its internal users (employees and contractors), the entity’s policies relating to processing integrity and security are reviewed with new employees and contractors as part of their orientation, and the key elements of the policies and their impact on the employee are discussed. New employees must sign a statement signifying that
they have read, understand, and will follow these policies. Each year, as part of their performance review, employees must reconfirm their understanding of and compliance with the entity’s processing integrity and security policies. Obligations of contractors are detailed in their contract.

内 部ユーザー(従業員、請負業者)のために、処理の完全性とセキュリティのポリシーは新規の従業員と業務委託者の導入の一環として確認され、ポリシーの重要 な要素とそれらの従業員への影響は話し合われる。新規の従業員はこれらのポリシーを読了し、理解し、従うことを証しした書面に署名する。毎年、業績評価の一環として、従業員はポリシーの理解と遵守を確認する。請負業者の義務は、その契約書に詳述される。
A security awareness program has been implemented to communicate the entity’s processing integrity and related security policies to employees.
セキュリティ意識向上プログラムは、従業員に、処理の完全性と関連するセキュリティポリシーを伝えるために実装される。
The entity publishes its IT security policies on its corporate intranet.
ITセキュリティポリシーは企業のイントラネットに掲載される。

2010年10月3日日曜日

処理の完全性の原則と基準の表の基準2.0,2.1

いろいろあって、2ヶ月ぶりの更新となります。ゆっくりと再開したいと思います。

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.0,2.1です。

Criteria 2.0
Communications: The entity communicates its documented system processing integrity policies to authorized users.
基準 2.0
伝達:文書化されたシステム処理の完全性のポリシーについて権限のあるユーザーに伝達する。


Criteria 2.1
基準 2.1
The entity has prepared an objective description of the system and its boundaries and communicated such description to authorized users.
システムとその境界についての客観的な説明を用意し、権限のあるユーザーにそれらの説明を伝達する。
If the system is an e-commerce system, additional information provided on its Web-site includes, but may not be limited to, the following matters:
もし、システムがEコマースシステムであれば、Webサイト上に供給される付加情報には以下が含まれる。(ただし、以下に限定されるわけではない)

a. Descriptive information about the nature of the goods or services that will be provided, including, where appropriate:
a. 提供される製品またはサービスの性質についての適切な場所を含む記述情報
  • Condition of goods (meaning, whether they are new, used, or reconditioned).
  • 商品の状態(新品か中古か修理品かといった意味の)
  • Description of services (or service contract).
  • サービスの記述(またはサービスの契約)
  • Sources of information (meaning, where it was obtained and how it was compiled).
  • 情報源(どこで獲得され、どのように編集されたか)
b. The terms and conditions by which it conducts its e-commerce transactions including, but not limited to, the following matters:
b. 以下の項目を含む(が限定されない)Eコマース取引の処理による諸条件
  • Time frame for completion of transactions (transaction means fulfillment of orders where goods are being sold and delivery of service where a service is being provided).
  • 取引完了のための時間枠(取引とは、品物が売られサービスが提供されようとしている場合やサービスが供給された場合の注文の履行を意味する。)
  • Time frame and process for informing customers of exceptions to normal processing of orders or service requests.
  • 通常の注文やサービス要求プロセスに対する例外の顧客への伝達の時間枠とプロセス
  • Normal method of delivery of goods or services, including customer options, where applicable.
  • 顧客のオプションを含む通常の商品やサービスの提供手法(該当する場合)
  • Payment terms, including customer options, if any.
  • 顧客オプションを含む支払い期間(もしあれば)
  • Electronic settlement practices and related charges to customers.
  • 電子決済の実施および関連する顧客への課金
  • How customers may cancel recurring charges, if any.
  • 顧客が定期的な課金をキャンセルする方法(もしあれば)
  • Product return policies and limited liability, where applicable.
  • 返品ポリシーと責任の限定(該当する場合)
c. Where customers can obtain warranty, repair service, and support related to the goods and services purchased on its Web site.
c. 顧客はどこで保証や修理サービス、ウェブサイトで購入した商品やサービスに関するサポートを獲得できるか
d. Procedures for resolution of issues regarding processing integrity. These may relate to any part of a customer’s e-commerce transaction, including complaints related to the quality of services and products, accuracy, completeness, and the consequences for failure to resolve such complaints.
d. 処理の完全性に関する事象の解決手順。これらは、サービスや製品の品質に関する苦情や正確性、完全性、それらの苦情の解決の失敗の成り行きを含み、顧客のEコマース取引のいずれかの部分に関連する。

Illustrative Controls
統制の実例

For its e-commerce system, the entity has posted a system description including the elements set out in criterion 2.1 on its Web site.
[For an example of a system description and additional disclosures for an e-commerce system, refer to Appendix A (paragraph .42).]
Eコマースシステムのために基準2.1の要素を含むシステムの説明をウェブサイトへ掲載する。
[システム説明とEコマースシステムの追加開示例は付録A(42項)を参照]

For its non–e-commerce system, the entity has provided a system description to authorized users. [For an example of a system description for a non–e-commerce based system, refer to Appendix B (paragraph .43).]
非Eコマースシステムのために認定されたユーザーへシステムの説明を供給する。[非Eコマースベースのシステムの説明の例は付録B(43項)を参照]