1
"A.5.1.1. Have information security policies been defined approved by management published and communicated to employees and relevant external parties?
Is there any exception in the policy?"
A set of policies for information security should be defined approved by management published and communicated to employees and relevant external parties.
”A.5.1.1 情報セキュリティ方針は、経営者側の承認によって明らかにされ、雇用者側及び適当な第三者機関に対して発表及び通知されているでしょうか?その方針の中に例外はありますか?”
情報セキュリティに対する一連の方針は、経営者側の承認によって明らかにされるべきであり、雇用者及び適当な第三者機関に好評及び通知されるべきです。
--
Information security policies have not been defined for the organization.
Information security policies have been defined for the organization.
"Information security policies have been defined for the organization and approved by management.
But the exception in the policy is not approved."
Information security policies including exception have been defined approved and published.
Information security policies have been defined, approved, published and communicated across the organization. Policies are regularly reviewed.
Changes in the organizations directives are taken into account through regular updates to the organizations information security policies.
情報安全指針は、その組織で承認されていません。
情報安全指針は、その組織で承認されています。
“情報安全指針はその組織の為に明確にされ、経営側によって明確にされ、承認されています、しかし、例外については、承認されていません。”
例外を含む情報安全指針は、明確にされ承認されて公表されています。
明確にされ、承認された情報安全指針は、組織全体に公表され、伝達され常時閲覧可能です。
組織の支持が変わった場合は、組織の情報安全指針に常時アップされます。
2
A.5.1.2. Are information security policies reviewed at planned intervals or when significant changes occur to ensure their continued effectiveness?
The policies for information security should be reviewed at planned intervals or if significant changes occur to ensure their continuing suitability adequacy and effectiveness.
--
Information security policies are not reviewed or updated.
Some departments review their information security policies on an ad hoc basis to ensure their continued effectiveness in protecting their sensitive information assets.
The organization reviews its information security policies periodically though roles and responsibilities or frequency of review have not been formally defined.
2
A.5.1.2 情報セキュリティポリシーは予定通り内部によって見直されるのか、もしくは大きな変化がある場合にそれらの有効性は確保されるのですか?
情報セキュリティのポリシーは内部によって見直されるべきで、もしくは大きな変化がある場合でも有効性は確保されるべきです。
情報セキュリティポリシーは見直されず、アップデートもされない。
部署によっては繊細な情報を守るために情報セキュリティポリシーの見直しはする。
組織の日常的に、責任をもちこの情報セキュリティポリシーを期間的にする見直しは正式に明確にされた。
The organization follows a documented procedure for policy review at planned intervals. Each policy is assigned an owner who is responsible for the development review and evaluation of the policies.
Policy review for information security takes the results of management reviews into account. Management approval is obtained for revised policies.
Policy review includes assessing for opportunities for improvement of the organization 's policies and approach to managing information security in response to changes to the organizational environment business circumstances legal conditions or technical environment.
団体は予定された期間ごとの方針の見直しのドキュメント化された過程を追従します。各方針は、進展の確認及び方針の評価の責任者へ割り当てられます。
情報の安全についての方針の見直しは、管理の見直しの結果を考慮します。管理の承認は、改定後の方針へもたらされます。
方針の確認には、当団体の方針を改善する機会の評価及び当団体の環境、ビジネスの環境、法的な条件またはテクニカルな環境への返答としての情報安全の管理へのアプローチが含まれます。
3
A.5.1.A Are security performance goals and objectives set in the organization?
Capability to set goals and objectives for security performance regarding metrics program management and investment.
--
No goals or objectives have been set.
Some goals or objectives have been set ad hoc.
Goals are set ad hoc and but not reviewed in regularly.
Goals and objectives have been set and sometime reviewed but not all goals are useful.
Performance goals and objectives are set using past data, sometime reviewed for improvement and all goals are useful.
Goals and objectives are set and regularly reviewed for improvement by the Security Organization.
3
A.5.1.A 組織内にセキュリティ保護の目標と対象物が設定されていますか?
指標プログラムの管理と投資に関するセキュリティ保護のための目標と対象物の機能
目標あるいは対象物の設定はなされていない。
設定または注意している目標や対象物はいくつかある。
目標と対象物は設定されていて、時には見直されるが、すべての目標が有益なわけではない。
セキュリティ保護の目標と太守汚物は過去のデータを使って設定されており、時には改善のために見直され、すべての目標が有益である。
目標と対象物は設定され、セキュリティ組織によって定期的に改善のために見直されている。
4
A.5.1.B "Is there a specific Recovery Time Objective(s) (RTO)?"
Is there a specific Recovery Point Objective(s) (RPO)?
--
Objectives of RTO and RPO have not been established.
Objectives of RTO and RPO have been established, but Restore & recovery tests are not conducted.
-
Objectives of RTO and RPO have been established, and Restore & recovery tests are conducted for once.
"Objectives of RTO and RPO have been established, and Restore & recovery tests are conducted regularly.
Objective is reviewed ad hoc."
Restore & recovery tests are conducted and Objectives of RTO and RPO is reviewed regularly.
A.5.1.B ”特定の目標復旧時間(RTO)はありますか?”
特定のも目標復旧時点(RPO)はありますか?
--
RTO及びRPOの目標値は設定されています。
RTO及びRPOの目標値は設定されていますが、リストア及びリカバリテストは行われません。
-
RTO及びRPOの目標値は設定されており、リストア及びリカバリテストは一度だけ行われます。
”RTO及びRPOの目標値は設定されており、リストア及びリカバリテストは定期的に行われます。目標値は暫定的に見直されます。”
リストア及びリカバリテストは行われ、RTO及びRPOの目標値は定期的に見直されます。