処理の完全性の原則と基準の表の基準2.4

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.4です。
 

Criteria 2.4
基準 2.4
The process for obtaining support and informing the entity about system processing integrity issues, errors and omissions, and breaches of systems security and for submitting complaints is communicated to authorized users.
システムの処理の完全性の件やエラーと欠落そしてシステムセキュリティの侵害と苦情の提出についてのサポートと通知を獲得するプロセスは承認されたユーザーへ伝達される。

Illustrative Controls

統制の実例

The process for customers and external users to inform the entity of possible processing integrity issues, security breaches, and other incidents is posted on the entity’s Web site and/or is provided as part of the new user welcome kit.
顧客や外部ユーザーへ可能な処理の完全性の問題・セキュリティの侵害・その他の事象を通知するための伝達プロセスはウェブサイトへ投稿されそして／または新規ユーザーの受入キットの一部として供給される。
The entity’s user training and security awareness programs include information concerning the identification of processing integrity issues and possible security breaches, and the process for informing the security administration team.
ユーザー訓練とセキュリティの気付きプログラムは処理の完全性の識別・考えうるセキュリティの侵害の情報・セキュリティ管理チームへの通知プロセスの情報を含む。
Documented procedures exist for the identification and escalation of system processing integrity issues, security breaches, and other incidents.
システムの処理の完全性の件・セキｆュリティの侵害・その他の事象について識別とエスカレーションのための文書化された手続が存在する。

処理の完全性の原則と基準の表の基準2.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.2です。

Criteria 2.2
基準 2.2
The processing integrity and related security obligations of users and the entity’s processing integrity and related security commitments to users are communicated
to authorized users.
処理の完全性と関連するユーザーのセキュリティ義務および企業の処理の完全性と関連するセキュリティのユーザーへの約束は権限のあるユーザーへ伝達される。

Illustrative Controls

統制の実例

The entity’s processing integrity and related security commitments and required processing integrity and related security obligations of its customers and other external users are posted on the entity’s Web site and/or as part of the entity’s standard services agreement.
企業の処理の完全性と関連するセキュリティの約束、要求される処理の完全性、関連する顧客と他の外部のユーザーのセキュリティの義務は企業のWebサイトまたは／若しくは企業の標準的なサービス合意に掲示される。
For its internal users (employees and contractors), the entity’s policies relating to processing integrity and security are reviewed with new employees and contractors as part of their orientation, and the key elements of the policies and their impact on the employee are discussed. New employees must sign a statement signifying that
they have read, understand, and will follow these policies. Each year, as part of their performance review, employees must reconfirm their understanding of and compliance with the entity’s processing integrity and security policies. Obligations of contractors are detailed in their contract.
内 部ユーザー（従業員、請負業者）のために、処理の完全性とセキュリティのポリシーは新規の従業員と業務委託者の導入の一環として確認され、ポリシーの重要 な要素とそれらの従業員への影響は話し合われる。新規の従業員はこれらのポリシーを読了し、理解し、従うことを証しした書面に署名する。毎年、業績評価の一環として、従業員はポリシーの理解と遵守を確認する。請負業者の義務は、その契約書に詳述される。
A security awareness program has been implemented to communicate the entity’s processing integrity and related security policies to employees.
セキュリティ意識向上プログラムは、従業員に、処理の完全性と関連するセキュリティポリシーを伝えるために実装される。
The entity publishes its IT security policies on its corporate intranet.
ITセキュリティポリシーは企業のイントラネットに掲載される。

処理の完全性の原則と基準の表の基準2.0,2.1

いろいろあって、２ヶ月ぶりの更新となります。ゆっくりと再開したいと思います。

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準2.0,2.1です。

Criteria 2.0

Communications: The entity communicates its documented system processing integrity policies to authorized users.

基準 2.0

伝達：文書化されたシステム処理の完全性のポリシーについて権限のあるユーザーに伝達する。

Criteria 2.1

基準 2.1

The entity has prepared an objective description of the system and its boundaries and communicated such description to authorized users.
システムとその境界についての客観的な説明を用意し、権限のあるユーザーにそれらの説明を伝達する。
If the system is an e-commerce system, additional information provided on its Web-site includes, but may not be limited to, the following matters:
もし、システムがEコマースシステムであれば、Webサイト上に供給される付加情報には以下が含まれる。（ただし、以下に限定されるわけではない）

a. Descriptive information about the nature of the goods or services that will be provided, including, where appropriate:
a. 提供される製品またはサービスの性質についての適切な場所を含む記述情報：

• Condition of goods (meaning, whether they are new, used, or reconditioned).
• 商品の状態（新品か中古か修理品かといった意味の）
• Description of services (or service contract).
• サービスの記述（またはサービスの契約）
• Sources of information (meaning, where it was obtained and how it was compiled).
• 情報源（どこで獲得され、どのように編集されたか）

b. The terms and conditions by which it conducts its e-commerce transactions including, but not limited to, the following matters:
b. 以下の項目を含む（が限定されない）Eコマース取引の処理による諸条件

• Time frame for completion of transactions (transaction means fulfillment of orders where goods are being sold and delivery of service where a service is being provided).
• 取引完了のための時間枠（取引とは、品物が売られサービスが提供されようとしている場合やサービスが供給された場合の注文の履行を意味する。）
• Time frame and process for informing customers of exceptions to normal processing of orders or service requests.
• 通常の注文やサービス要求プロセスに対する例外の顧客への伝達の時間枠とプロセス
• Normal method of delivery of goods or services, including customer options, where applicable.
• 顧客のオプションを含む通常の商品やサービスの提供手法（該当する場合）
• Payment terms, including customer options, if any.
• 顧客オプションを含む支払い期間（もしあれば）
• Electronic settlement practices and related charges to customers.
• 電子決済の実施および関連する顧客への課金
• How customers may cancel recurring charges, if any.
• 顧客が定期的な課金をキャンセルする方法（もしあれば）
• Product return policies and limited liability, where applicable.
• 返品ポリシーと責任の限定（該当する場合）

c. Where customers can obtain warranty, repair service, and support related to the goods and services purchased on its Web site.
c. 顧客はどこで保証や修理サービス、ウェブサイトで購入した商品やサービスに関するサポートを獲得できるか
d. Procedures for resolution of issues regarding processing integrity. These may relate to any part of a customer’s e-commerce transaction, including complaints related to the quality of services and products, accuracy, completeness, and the consequences for failure to resolve such complaints.
d. 処理の完全性に関する事象の解決手順。これらは、サービスや製品の品質に関する苦情や正確性、完全性、それらの苦情の解決の失敗の成り行きを含み、顧客のEコマース取引のいずれかの部分に関連する。

Illustrative Controls

統制の実例

For its e-commerce system, the entity has posted a system description including the elements set out in criterion 2.1 on its Web site.
[For an example of a system description and additional disclosures for an e-commerce system, refer to Appendix A (paragraph .42).]
Eコマースシステムのために基準2.1の要素を含むシステムの説明をウェブサイトへ掲載する。
[システム説明とEコマースシステムの追加開示例は付録A（42項）を参照]
For its non–e-commerce system, the entity has provided a system description to authorized users. [For an example of a system description for a non–e-commerce based system, refer to Appendix B (paragraph .43).]
非Eコマースシステムのために認定されたユーザーへシステムの説明を供給する。[非Eコマースベースのシステムの説明の例は付録B（43項）を参照]

処理の完全性の原則と基準の表の基準1.3

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準1.3です。

Criteria 1.3

基準 1.3Responsibility and accountability for the entity’s system processing integrity and related system security policies, and changes, updates, and exceptions to those policies, are assigned.

システム処理の完全性と関連するシステムセキュリティーポリシーと変更、更新、ポリシーの例外に対する責務と説明責任が割り当てられる。

Illustrative Controls

統制の実例
Management has assigned responsibilities for the implementation of the entity’s processing integrity and related security policies to the chief information officer (CIO). Others on the executive committee assist in the review, update, and approval of the policies as outlined in the executive committee handbook.

経営者は、最高情報責任者（ＣＩＯ）への処理の完全性と関連するセキュリティポリシーについて、実装の責任を割り当てられる。役員会の別の者はレビューや更新やポリシーの改善を役員会ハンドブックに則り、支援する。
Ownership and custody of significant information resources (for example, data, programs, and transactions) and responsibility for establishing and maintaining system processing integrity and related security over such resources is defined.

重要な情報源（例：データ、プログラム、取引）の所有と監護とそれらのリソースに関するシステム処理の完全性と関連するセキュリティの確立と維持の責任が定義されている。

処理の完全性の原則と基準の表の基準1.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は処理の完全性の原則と基準の表の基準1.2です。

Criteria 1.2
基準 1.2The entity’s system processing integrity and related security policies include, but may not be limited to, the following matters:
システム処 理の完全性と関連するセキュリティポリシーは以下の事柄を含む（しかし限定されるわけではない）：
a. Identification and documentation of the system processing integrity and related security requirements of authorized users.
a. システム処理の完全性と関連するセキュリティの権限のあるユーザーからの要求に対する識別と文書化
b. Allowing access, the nature of that access, and who authorizes such access.
b. アクセスの許可、アクセスの種類、誰がそのようなアクセスを認めるのか
c. Preventing unauthorized access.
c. 権限のないアクセスの防御
d. The procedures to add new users, modify the access levels of existing users, and remove users who no longer need access.
d. 新規ユーザーを追加する、既存ユーザーのアクセスレベルを変更する、もはやアクセスする必要のないユーザーを削除する手順
e. Assignment of responsibility and accountability for system　processing integrity and related security.
e. システム処理の完全性と関連するセキュリティーへの責務と説明責任の割り当て
f. Assignment of responsibility and accountability for system changes and maintenance.
f. システム変更と保守の責務と説明責任の割り当て
g. Testing, evaluating, and authorizing system components before implementation.
g. システムコンポーネントの実装前のテスト、評価、承認
h. Addressing how complaints and requests relating to system processing integrity and related security issues are resolved.
h. どのようにシステム処理の完全性と関連するセキュリティ事項に対する不平や要望が解決されるかの取り組み
i. The procedures to handle errors and omissions and other system processing integrity and related security breaches and other incidents.
i. エラーと怠慢と他のシステム処理の完全性と関連するセキュリティ侵害と事件を取り扱う手順

j. Provision for allocation for training and other resources to support its system processing integrity and related system security policies.

j. 訓練とシステム処理の完全性と関連するシステムセキュリティーポリシーをサポートする他の資源の割り当ての供給

k. Provision for the handling of exceptions and situations not specifically addressed in its system processing integrity and related system security policies.

k. 例外およびシステム処理の完全性と関連するシステムセキュリティポリシーには具体的に述べられていない状況の取り扱いの供給
l. Provision for the identification of, and consistency with, applicable laws and regulations, defined commitments, service-level agreements, and other contracts.

l. 適用される法令と規則、定義された約束、サービスレベル合意、その他契約との一致と一貫性

Illustrative Controls

統制の実例
Management has assigned responsibilities for the implementation of the entity’s processing integrity and related security policies to the chief information officer (CIO). Others on the executive committee assist in the review, update, and approval of the policies as outlined in the executive committee handbook.

経営者は処理 の完全性と関連するセキュリティポリシーの実装の責任を最高情報責任者（ＣＩＯ）へ割り当てる。他の経営委員会のメンバーはレビューや更新、ポリシーの承認について経営委員会ハンドブックに則り支援す る。

Ownership and custody of significant information resources (for example, data, programs, and transactions) and responsibility for establishing and maintaining system processing integrity and related security over such resources is defined.

重要な情報源（例：データ、プログラム、取引）の所有と監護とそれらのリソースに関するシステム処理の完全性と関連す るセキュリティの確立と維持の責任が定義されている。
The entity’s documented processing integrity and related security policies contain the elements set out in criterion 1.2.文書化された処理の完全性と関連す るセキュリティポリシーは基準1.2で設定された要素を含む。

処理の完全性の原則と基準の表 基準1.0、1.1

Processing Integrity Principle and Criteria Table
処理の完全性の原則と基準の表
.24 System processing is complete, accurate, timely, and authorized.
.24 システム処理は完全で、正確で、適時で、許可されている。

Criteria 1.0
Policies: The entity defines and documents its policies for the processing integrity of its system.
基準 1.0
ポリシー：システムの処理の完全性のポリシーを定義し、文書化する。

Criteria 1.1
The entity’s processing integrity and related security policies are established and periodically reviewed and approved by a designated individual or group.
基 準 1.1
処理の完全性と関連するセキュリティーと関連するセキュリティ ポリシーが存在し、定期的に決められた個人またはグループによって確認され、承認される。

Illustrative Controls
統制の実例
The entity’s documented systems development and acquisition process includes procedures to identify and document authorized users of the system and their processing integrity and related security requirements.
User requirements are documented in service-level agreements or other documents.
文書化されたシステムの開発と獲得手順には、承認されたシステムのユーザーと 彼らの処理の完全性および関連するセキュリティ要求を特定し記録する手順が含まれる。
ユーザーからの要求はサービスレベル合意または他の文書に記 載される。
The security officer reviews security policies annually and submits proposed changes as needed for approval by the information technology (IT) standards committee.
セキュリティ執行役員 はセキュリティポリシーを年次に確認し、情報技術（IT）標準委員会が同意した変更案を提示する。

Processing Integrity Principle and Criteria .23

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回はProcessing Integrity Principle and Criteriaの.23 です。

.23 Processing integrity differs from data integrity. Processing integrity does not automatically imply that the information stored by the system is complete, accurate, current, and authorized. If a system processes information inputs from sources outside of the system’s boundaries, an entity can establish only limited controls over the completeness, accuracy, authorization, and timeliness of the information submitted for processing. Errors that may have been introduced into the information and the control procedures at external sites are typically beyond the entity’s control. When the information source is explicitly excluded from the description of the system that defines the engagement, it is important to describe that exclusion in the system description. In other situations, the data source may be an inherent part of the system being examined, and controls over the completeness, accuracy, authorization, and timeliness of information submitted for processing would be included in the scope of the system as described.　

.23　処理の完全性 はデーターの完全性と異なる。処理の完全性はシステムに保存された情報が完全であり、正確であり、最新であり、正規であることを自動的に意味しない。 あるシステムがシステムの境界外からの入力情報を処理する場合、処理に送られる情報の完全性、正確性、承認、適時性について限定的な統制のみとなる。情報や統制手続 に外部サイトから取り入れられ るエラーは典型的に統制外となる。
情報源が明確に、契約を定義したシステムの説明か ら除外されている場合、システムの説明に除外されていることを記述することが重要である。別の状況では、データー源は検討されているシステムの固有部分で あり、処理に送られた情報の完全性、正確性、承認、適時性についての統制は記述されたシステムの範囲に含まれるであろう。

Processing Integrity Principle and Criteria .22

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回はProcessing Integrity Principle and Criteriaの.22 です。

.22 The risks associated with processing integrity are that the party initiating the transaction will not have the transaction completed or the service provided correctly, and in accordance with the desired or specified request. Without appropriate processing integrity controls, the buyer may not receive the goods or services ordered, receive more than requested, or receive the wrong goods or services altogether. However, if appropriate processing integrity controls exist and are operational within the system, the buyer can be reasonably assured that the correct goods and services in the correct quantity at the correct price are received when promised. Processing integrity addresses all of the system components including procedures to initiate, record, process, and report the information, product, or service that is the subject of the engagement. The nature of data input in e-commerce systems typically involves the user entering data directly over Web-enabled input screens or forms, whereas in other systems, the nature of data input can vary significantly. Because of this difference in data input processes, the nature of controls over the completeness and accuracy of data input in e-commerce systems may be somewhat different than for other systems. The illustrative controls outlined in the following table identify some of these differences.

.22 処理の完全性に関するリスクとは、取引を開始した当事者が完全な取引を保持できない、または、正しくサービスが提供されない、そして欲求または特定の要求 の基づいていることである。適切な処理の完全性の統制なしでは、買い手は注文した商品やサー ビスを受け取ることができなかったり、要求より多いまたは不良な商品やサービスを受け取ることになるかも知れない。しかしながら、もし適切な処理の完全性 が存在し、システムで運用されていれば、買い手は約定すると正しい商品とサービスを適切な量の適切な価格で受け取ることを合理的に保証される。処理の完全性とは全てのシステムコ ンポーネントが関与の対象となる情報・製品・サービスの開始・記録・過程・報告手順を含むことを言う。ｅコマースシステムで入力されたデーターの性質は、典型的に、ユーザーがＷｅｂ対応の画面またはフォームで直接入力した データーを意味し、一方、他のシステムでは入力データーの性質は大幅に異なる。データー入力過程の違いによってｅコマースシステムでのデーター入力の完全 性と正確性の統制は他のシステムとは何か異なるかもしれない。統制の実例の概要の以下の表はこれらの差異を識別する。

Processing Integrity Principle and Criteria .21

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回はProcessing Integrity Principle and Criteriaの.21 です。

Processing Integrity Principle and Criteria
処理の完全 性の原則と基準

.21 The processing integrity principle refers to the completeness, accuracy, timeliness, and authorization of system processing. Processing integrity exists if a system performs its intended function in an unimpaired manner, free from unauthorized or inadvertent manipulation. Completeness generally indicates that all transactions and services are processed or performed without exception, and that transactions and services are not processed more than once. Accuracy includes assurances that key information associated with the submitted transaction will remain accurate throughout the processing of the transaction and the transaction or services are processed or performed as intended. The timeliness of the provision of services or the delivery of goods is addressed in the context of commitments made for such delivery. Authorization includes assurances that processing is performed in accordance with the required approvals and privileges defined by policies governing system processing.
.21 処理の完全性の原則と基準は完全性、正確性、適時性そしてシステム処理の権限について言及する。処理の完全性は、システムが意図した機能で動作し、不正または不注意な操作がなければ存在する。完全さは一般的に全ての取引とサービスが例外なく処理または動作されていることを示し、取引とサービスは2回以上処理さ れずに動作することを示す。正確性は、送信された取引に関連づけられた重要情報が取引の処理中正 確であることと取引またはサービスが意図した処理または動作をすることの保証を含む。サービスの提供または商品の配達の適時性は提供のためになされた約束の状況によって説明される。
承認は、処理が求められる承認とシステ ム処理を統括するポリシーにより定義された権限に基づき動作することの保証を含む。

基準 4.3

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 4.3です。

Criteria 4.3
Environmental and technological changes are monitored and their effect on system availability and security is assessed on a timely basis.
基準 4.3
環境と技術的な変更は監視され、それらのシステムの可用性とセキュリティへの影響は適時に評 価されている。
Illustrative Controls
統制の実例
The entity’s data center facilities include climate and environmental monitoring devices. Deviations from optimal performance ranges are escalated and resolved.データセンター施設には気候と環境の監視装置が含まれる。最適なパフォーマンスの範囲からの逸脱は上申され解決され る。
Senior management, as part of its annual IT planning process, considers developments in technology and the impact of applicable laws or regulations on the entity’s availability and related security policies.上級管理者は、年度IT計画策定過程の一部として、技術開発と適用される法令や 可用性の規則、関連するセキュリティポリシーへの影響を考慮する。
The entity’s customer service group monitors the impact of emerging technologies, customer requirements, and competitive activities.
顧 客サービスグループは新たな技術や顧客の要求、競合の活動の影響を監視する。

基準 4.2

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 4.2です。

Criteria 4.2
There is a process to identify and address potential impairments to the entity’s ongoing ability to achieve its objectives in accordance with its defined system availability and related security policies.
定義されたシステムの可用性と関連 するセキュリティポリシーに基づき目的を達成するための継続能力への潜在的な障害の識別と対処のプロセスがある。

基準 4.2
Network performance and system processing are monitored using system monitoring tools by onsite operations staff 24 hours a day, 7 days a week. Network performance, system availability, and security incident statistics and comparisons to approved targets are accumulated and reported to the IT steering committee monthly.
ネットワークパフォーマンスとシ ステム処理はシステム監視ツールを用いてオンサイトオペレーションスタッフによって24時間週7日監視される。ネットワークパフォーマンス、システムの可 用性、セキュリティ事故統計と承認されたターゲットとの比較は蓄積されIT運営委員会へ毎月報告される。
Future system performance, availability, and capacity requirements are projected and analyzed as part of the annual IT planning and budgeting process.
将来のシステムパフォーマンス、可用性、キャパシティの要求は、年度のIT計画と予算編成過程の一部として見積もられ 分析される。
Logs are analyzed to identify trends that may have a potential impact on the entity’s ability to achieve its system availability and related security objectives.
記録（ログ）は分析され、システムの可用性と関連するセキュリティ目的を達成する能力への潜在的影響の傾向が識別され る。
Monthly IT staff meetings are held to address system performance, availability, capacity, and security concerns and trends; findings are discussed at quarterly management meetings.
月次ITスタッフミーティングはシステムパ フォーマンス、能力、キャパシティ、セキュリティ関連事項と傾向について話されるために開催される。発見事項は四半期毎の経営者ミーティングにて議論され る。

基準 4.0、4.1

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 4.0、4.1です。

Criteria 4.0
Monitoring: The entity monitors the system and takes action to maintain compliance with its defined system availability policies.
基準 4.0監視：システムを監視し、システム可用性ポリシーを遵守した保守の行動をとる。
Criteria 4.1
The entity’s system availability and security performance is periodically reviewed and compared with the defined system availability and related security policies.
基準 4.1
システムの可用性とセキュリティーパフォーマンスは定期的に確認され、定義されたか用性と関連するセキュリティポリ シーと比較される。

Illustrative Controls
統制の実例
Network performance and system processing are monitored using system monitoring tools by onsite operations staff 24 hours a day, 7 days a week. Network performance, system availability, and security incident statistics and comparisons to approved targets are accumulated and reported to the IT steering committee monthly.
ネットワークパフォーマンスとシステム処理はオンサ イトオペレーションスタッフによって24時間・週7日システム監理ツールを使用して監視される。ネットワークのパフォーマンス、システムの可用性、セキュ リティ事故統計と認定されたターゲットとの比較は蓄積されIT運営委員会に月例で報告される。
The customer service group monitors system availability and related customer complaints. It provides a monthly report of such matters together with recommendations for improvement, which are considered and acted on at the monthly IT steering committee meetings.
顧客サービスグループは可用性 と顧客の遵法に関連するシステムを監視する。月例IT運営委員会の会合で考慮され行動された 事項について改善の提言とともに月例報告が提供される。
The information security team monitors the system and assesses the system vulnerabilities using proprietary and other tools. Potential risk is evaluated and compared to service-level agreements and other obligations of the entity. Remediation plans are proposed and implementation is monitored.
情報セキュリティチームはシステムを監視し、所有権およびその他のツールを使いシステムの脆弱性を評価する。潜在的リスクは評価されサービスレベル合意や他の義務と比較される。修復計画が提案 され、実装が監視される。
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. The internal audit function conducts system availability and system security reviews as part of its annual audit plan. Results and recommendations for improvement are reported to management.
第三者と定期的なセキュリティ確認と脆弱 性評価指揮の契約をする。内部監査機能はシステムの可用性とシステムセキュリティ確認を年度監査計画の一部として指揮する。結果および改善提言は経営者に 報告される。

基準3.15

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.15です。

Criteria 3.15
Procedures exist to provide that emergency changes are documented and authorized (including after-the-fact approval).
基準3.15
緊急の変更がドキュメント化・許可されることを供給する手順が存在する。（事後承認を含む）

Illustrative Controls
統制の実例
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
変更要求、システムメンテナンス、サプライヤーによるメン テナンスは標準化され、ドキュメント化された変更管理手順に従う。変更は優先度に従って分類 されランク付けされ、緊急事項を取り扱う手順が存在する。
Change requestors are kept informed about the status of their requests.
変更要求者は自身の要求の状態を案内され続ける。
Emergency changes that require deviations from standard procedures are logged and reviewed by IT management daily and reported to the affected line-of-business manager. Permanent corrective measures follow the entity’s change management process, including line-of-business approvals.
標準的な手順か らの逸脱を必要とする緊急の変更は記録され、IT管理者によって毎日確認さ れ、影響を受けるビジネスラインの管理者へ報告される。永続的な是正措置はビジネスラインの 承認を含む変更管理プロセスに従う。

基準 3.14

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.14です。

Criteria 3.14
Procedures exist to provide that only authorized, tested, and documented changes are made to the system.
基準3.14
許可され、テストされ、文書化された変更のみが加えられることを供給する手順が存在する。
Illustrative Controls
統制の実例
Senior management has implemented a division of roles and responsibilities that segregates incompatible functions.
上級管理職は職務の分離と互換性の無い機能を分離する責任がある。
The entity’s documented systems development methodology describes the change initiation, software development and maintenance, and approval processes, as well as the standards and controls that are embedded in the processes. These include programming, documentation, and testing standards.
文書化されたシステムの開発方法論には、プロセスに組み込まれた基準と統制と同様に、変更の開始、ソフトウェアの開発と 保守、承認プロセスが記述される。
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
変更要求、システム保 守、サプライヤーの保守は標準化され、文書の変更管理手続に従う。変更は優先度によって分類されランク付けされ、緊急事項を取り扱う手順がある。
Change requestors are kept informed about the status of their requests.
変更要求者は彼らの要求の状況を案内され続ける。
Changes to system infrastructure and software are developed and tested in a separate development or test environment before implementation into production.
システムインフラとソフトウェアの変更は、分離された開発またはテスト環境にて実機への実装前に開発・テストされる。
As part of the change control policies and procedures, there is a “promotion” process (for example, from “test” to “staging” to “production”).
変更統制ポリシーと手順の一部として、展開プロセスがあ る。（例：テストから実機への足場）
Promotion to production requires the approval of the business owner who sponsored the change and the manager of computer operations.
実機への展開には提供者であるビジネスの オーナーとコンピューターオペレーションの管理者の承認が必要となる。
When changes are made to key systems components, there is a "backout" plan developed for use in the event of major interruption(s).
重要なシステム コンポーネントに変更を行う場合、大規模な阻害事象発生時に使用するため開発された巻き戻し計画がある。

基準 3.13

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.13です。

Maintainability-related criteria applicable to the system’s availability
システムの可用性に適用可能な保守性に関する基準

Criteria 3.13
Procedures exist to maintain system components, including configurations consistent with the defined system availability and related security policies.
基準3.13
定義されたシステムの可用性と関連するセキュリティポリシーと一致した 設定を含むシステムコンポーネントを保守するための手順が存在する。

Illustrative Controls
統制の実例
Entity management receives a third-party opinion on the adequacy of security controls, and routinely evaluates the level of performance it receives (in accordance with its contractual service-level agreement) from the service provider that hosts the entity’s systems and Web site.
経営 者はセキュリティ統制の妥当性についての第三者意見を受け取り、定期的にシステムとWebサイトをホストしているサービスプロバイダーから受け取るパ フォーマンスレベルを評価する。
The IT department maintains a listing of all software and the respective level, version, and patches that have been applied.
IT部門は全てのソフトウェアとそれぞれのレベル、バージョ ン、適用されたパッチの一覧を保守する。
Requests for changes, system maintenance, and supplier maintenance are standardized and subject to documented change management procedures. Changes are categorized and ranked according to priority, and procedures are in place to handle urgent matters.
変更要求、システム保守、サプライヤーの保守は標準化さ れ、文書化された変更管理手順に従う。変更は分類され、優先順位によってランク付けられ、緊急事項を取り扱う手順が用意されている。
Change requestors are kept informed about the status of their requests.
変更の要求者は自身の要求の状況を案内され続ける。
Staffing, infrastructure, and software requirements are periodically evaluated and resources are allocated consistent with the entity’s availability and related security policies.
人材、インフラ ストラクチャ、およびソフトウェアの要件は、定期的に評価され、リソースは可用性と関連するセキュリティポリシーに一致して割り当てられる。
System configurations are tested annually and evaluated against the entity’s processing performance, availability, and security policies,and current service-level agreements. An exception report is prepared and remediation plans are developed and tracked.
システム設定は毎年テストされ、処理パフォーマンスと可用性とセキュリティポリシーと現在のサービスレベル合意に対して 評価される。例外 レポートが 用意され、改善計画が開発され、追跡される。
The IT steering committee, which includes representatives from the lines of business and customer support, meets monthly and reviews anticipated, planned, or recommended changes to the entity’s availability and related security policies, including the potential impact of legislative changes.
ビジネスラインと顧客サポートの代表を含むIT運営委員会は毎月会合し、予想と計画、または推奨された可用性と法改正の潜在的な影響を含んだ関連するセキュリティポリシーへの変更を確認する。

基準 3.12

※ワールドカップのオープニングゲームを見ていたら更新を忘れました。。。


引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.12です。

Criteria 3.12
Procedures exist to provide that personnel responsible for the design, development, implementation, and operation of systems affecting availability and security are qualified to fulfill their responsibilities.
基準3.12
デザイン、開発、実装の社員の責任を供給する手順が存在し、可用性とセキュリティに影響するシステムのオペレーション は責任を果たすために資格化されている。

Illustrative Controls
統制の実例
The entity has written job descriptions specifying the responsibilities and academic and professional requirements for key job positions.
責任と学力水準と専門性の要求を特定した職務内容を記述する。
Hiring procedures include a comprehensive screening of candidates for key positions and consideration of whether the verified credentials are commensurate with the proposed position. New personnel are offered employment subject to background checks and reference validation.
採用手続には、重要ポジションの候補者の包括的なスクリーニングと検査情報が提案のポジションに見合っているかどうか の考慮が含まれる。
Candidates, including internal transfers, are approved by the line-of-business manager before the employment position is offered.
内部異動者を含む候補者は、採用ポジションの提示の前に、ビジネス ラインのマネージャーによって承認されている。
Periodic performance appraisals are performed by employee supervisors and include the assessment and review of professional development activities.
定期的 なパフォーマンス査定は、従業員の監督者によって実行され、専門性開発活動の評価と確認が含まれる。
Personnel receive training and development in system availability concepts and issues.
社員はシステム可用性コンセプトと事項のトレーニングと開発を受ける。
Procedures are in place to provide alternate personnel for key system availability functions in case of absence or departure.
不 在または離脱に備え、重要なシステム能力機能について代替社員を供給する手続がある。

基準 3.11

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.11です。

Criteria related to the system components used to achieve the objectives
目的達成に使用されるシステムコンポーネントに関する 基準

Criteria 3.11
Design, acquisition, implementation, configuration, modification, and management of infrastructure and software related to system availability and security are consistent
with defined system availability and related security policies.
基準3.11
インフラとシス テム可用性とセキュリティに関連するソフトウェアのデザイン、取得、実装、設定、改変、管理は定義されたシステム化用性と関連するセキュリティポリシーと 一致する。

Illustrative Controls
統制の実例
The entity has adopted a formal systems development life cycle (SDLC) methodology that governs the development, acquisition, implementation, and maintenance of computerized information systems and related technology.
コンピュータ化された情報システムと関連するテクノロジーの開発、取得、実装、保守管理する正式なシステム開発ライフサ イクル（ＳＤＬＣ）方法論を取り入れる。
The SDLCm ethodology includes a framework for:
ＳＤＬＣ方法論は以下のフレームワークを含む：

• Establishing performance level and system availability requirements based on user needs.
• ユーザーニーズに基づいたパフォーマンスレベル とシステム化用性の要求の確立
• Maintaining the entity’s backup and disaster recovery planning processes in accordance with user requirements.
• ユーザー要求に従ったバックアッ プの保守と災害復旧計画
• Classifying data and creating standard user profiles that are established based on an assessment of the business impact of the loss of security; assigning standard profiles to users based on needs and functional responsibilities.
• セキュリティが欠けることによるビジネスへの影響の見積に基づき確立された、データーの 分類と標準ユーザープロフィールの作成；ユーザーのニーズと責任の機能に基づいて、標準のプロフィールを割り当てる
• Testing changes to system components to minimize the risk of an adverse impact to system performance and availability.
• テストすることによって、システムコンポーネントはシステムのパフォーマンスと可用性への悪影響のリスクが最小限となる
  
• Development of “backout” plans before implementation of changes.
• 「取り消し」の開発は変更の実装前に計画する

Owners of the information and data establish processing performance and availability benchmarks, classify its sensitivity, and determine the level of protection required to maintain an appropriate level of security.
情報とデータの所有者は、処理と可用性のベンチマーク、機微な情報の機密扱い、適切なセキュリティレベルを保持するために求められる保護レベ ルの決定の処理を確立する。
The security administration team reviews and approves the architecture and design specifications for new systems development and/or acquisition to ensure consistency with the entity’s availability and related security policies.
セキュリティ管理チームは新しいシステム開発と／または関連するセキュ リティポリシーのアーキテクチャーとデザインの仕様を確認し、認定する。
Changes to system components that may affect systems processing performance, availability, and security require the approval of the security administration team.
システム処理パフォーマンスや可用性、セキュリティに影響する変更は、セキュリティ管理チームが認めることを要する。
The access control and operating system facilities have been installed, including the implementation of options and parameters, to restrict access in accordance with the entity’s security objectives, policies, and standards.
アクセスコントロールとオペレーティングシステム設備が、セ キュリティ目的・ポリシー・標準に従ってアクセスを制限するために、オプションとパラメーターの実装を含めて、構築される。
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. Results and recommendations for improvement are reported to management.
第三者 に定期的なセキュリティ確認と脆弱性見積りの実施を委託する。結果と改善提言は経営者に報告される。

基準 3.10

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.10です。

Criteria 3.10
基準 3.10
Procedures exist to provide that issues of noncompliance with system availability and related security policies are promptly addressed and that corrective measures are taken on a timely basis.
システムの可用性 および関連するセキュリティポリシーを遵守しないという問題が速やかに説明されることと是正措置が適時にとられることを提供する手順が存在する。
Illustrative Controls
統制の実例
System processing and security-related issues are recorded and accumulated in a problem report. Corrective action is noted and monitored by management.
システム処理とセキュリティ関連の問題は問題報告に記録され蓄積される。是正措置は経営者によって気付かれ監視され る。
As a part of the monthly monitoring of the site, availability and site usage reports are compared to the disclosed availability levels. This analysis is used to forecast future capacity, reveal any performance issues, and provide a means of fine-tuning the system.
月例のサイト監視の一部として、可用性とサイト有用性報告は公開されている有用性レ ベルと比較される。この分析は将来の許容量予想すること、あらゆるパフォーマンス問題を明らかにすること、システムのファインチューニングの手段を供給す ることに使用される。
Standard procedures exist for the documentation, escalation, resolution, and review of problems.
文 書化、エスカレーション、解決、問題の確認の標準手順が存在する。
On a routine basis, security policies, controls, and procedures are audited by the internal audit department. Results of such examinations are reviewed by management, a response is prepared, and a remediation plan is put in place.
定期的にセキュリティポリシー、統制、手順は内部監査部門によって監査される。このような試験の結果は経営者によって確認され、応答が用意され、改善計画が配備される。
Entity management evaluates the level of performance it receives from the Internet service provider (ISP) which hosts the entity Web site. This evaluation is done by evaluating the provider’s actual performance as compared to agreed service-level commitments including measures for system processing performance levels, availability, and security controls the ISP has in place.
経営者ウェブサイトを置いているイ ンターネットサービスプロバイダ（ISP）から受け取るパフォーマンスのレベルを評価する。この評価はプロバイダの実際のパフォーマンスを、システム処理 パフォーマンス、可用性、ISPが装備するセキュリティ統制の評価基準を含む、合意したサービスレベルコミットメントと比較して評価することで実施される。
Management receives an annual independent third-party report on the adequacy of internal controls from its Web-hosting service provider.
経営者はウェブホスティングサービス プロバイダから、年次で独立した第三者の内部統制の妥当性についての報告を受け取る。
Management reviews these reports and follows up with the service provider management on any open items or causes for concern.
経営者はこれらの報告を確 認し、サービスプロバイダとともにあらゆる未確認事項や懸念要因についてフォローアップする。

基準 3.9

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.9です。

Criteria 3.9
基準 3.9
Procedures exist to identify, report, and act upon system availability issues and related security breaches and other incidents.
システムの可用性の問題および関連するセキュ リティの侵害や他の事件についての識別、報告、行動の手順が存在する。

Illustrative Controls
統制の実例
Users are provided instructions for communicating system availability issues, potential security breaches, and other issues to the help desk or customer service center.
ユーザーはシステムの可用性に関する事柄、潜在的セキュリティ侵害、ヘルプデスクまたはカスタマーサービスセンターに対 するその他の事項の伝達の案内が供給される。
Documented procedures exist for the escalation of system availability issues and potential security breaches that cannot be resolved by the help desk.
システム の可用性の問題とヘルプデスクで解決できない潜在的なセキュリティ侵害について、エスカレーションのためのドキュメント化された手順が存在する。
Network performance and system processing are monitored using system monitoring tools by onsite operations staff 24 hours a day, 7 days a week. Documented procedures exist for the escalation and resolution of performance and processing availability issues.
ネッ トワークのパフォーマンスとシステムの処理は、システム監視ツールを使用してオンサイト運用スタッフによって24時間、週7日監視される。パフォーマンス と可用性の問題のエスカレーションと解決のためのドキュメント化された手順が存在する。
Intrusion detection and other tools are used to identify, log, and report potential security breaches and other incidents. The system notifies the security administration team and/or the network administrator via e-mail and pager of potential incidents in progress.
侵入検知お よびその他のツールは識別するため、記録、潜在的なセキュリティ侵害や他の事件の報告に使用される。システムはEメールとポケベルを介してセキュリティ管 理チームと（または）ネットワーク管理者へ潜在的事件が進行中であることを注意喚起する。
Incident logs are monitored and evaluated by the information security team daily.
Documented incident identification and escalation procedures are approved by management.
事件の記録は情報セキュリティチームにより毎日監視され評価される。ドキュ メント化された事件の識別とエスカレーション手順は経営者によって承認される。
Network performance, system availability, and security incident statistics and comparisons to approved targets are accumulated and reported to the IT steering committee monthly.
ネットワークパフォーマンス、システムの可用性、セキュリ ティ事件統計と目的を承認するための比較は蓄積され、毎月IT運営委員会へ毎月報告される。
System performance and capacity analysis and projections are completed annually as part of the IT planning and budgeting process.
システムパ フォーマンスと許容量の分析と予想は毎年のIT計画と予算策定過程の一部として完成する。

基準 3.8

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.8です。

Criteria 3.8
基準 3.8
Encryption or other equivalent security techniques are used to protect user authentication information and the corresponding session transmitted over the Internet or other public networks.
暗号ま たは他の同等のセキュリティテクニックがユーザー認証情報保護とインターネットや他の公衆ネットワークから送信された通信のセッションに使用される。

Illustrative Controls
統制の実例
The entity uses 128-bit secure sockets layer (SSL) encryption for transmission of private or confidential information over public networks, including user ID and password. Users are required to upgrade their browser to the most current version tested and approved for use by the security administration team to avoid possible security problems.
ユーザーＩＤとパスワードを含むプライベートまたは機密の情報を公衆ネットワーク越しに送信する場合は128ビットのセ キュアソケットレイヤー（ＳＳＬ）暗号を使用する。
Account activity, subsequent to successful login, is encrypted through a 128-bit SSL session. Users are logged out on request (by selecting the “Sign-out” button on the Web site) or after 10 minutes of inactivity.
ログイン成功 後のアカウントの通信は128ビットＳＳＬセッションで暗号化される。ユーザーはリクエスト（「サインアウト」ボタンをウェブサイトで選択する）するか非 アクティブから10分後にログアウトされる。