10 A.6.1.A "Is security architecture integrated with the organization's enterprise architecture?
Security architecture should be incorporated into the organization's enterprise architecture.
There is no integration of security architecture with organization 's enterprise architecture.
Security architecture is integrated in an ad hoc way with the organization's enterprise architecture.
Discussions are in progress to formally integrate security architecture with the organization's enterprise architecture.
Security architecture is integrated into the organization's enterprise architecture based on a defined policy.
10 A.6.1.A ”セキリュティアーキテクチャーは、組織の事業構造と一体となっているでしょうか?”
セキリュティアーキテクチャーは、組織の事業構造に組み込まれるべきです。
セキリュティアーキテクチャーは、組織の事業構造と統合していません。
セキリュティアーキテクチャーは、臨機応変に組織の事業構造に組み込まれます。
セキュリティアーキテクチャーを組織の事業構造に形式的に統合するための議論は、進められています。
セキュリティアーキテクチャーは、明らかにされた方針に基づいて、組織の事業構造に統合されます。
"The organization continuously reviews the integration of security architecture with the organization's enterprise architecture.
"
"The organization continuously improves the integration of security architecture with the organization's enterprise architecture.
"
11
A.6.1.B
Does the organization follow the principles?
・defense in depth architecture principle
・least privilege architecture principle
・defaults deny principle
・fail secure principle
According to Defense in Depth architecture principle there should be more than one layer of protection when building applications such that the compromise of one layer does not compromise the application.
”会社は継続的に会社の企業建築物で安全建築物の統一を批評している。
”
”会社は継続的に会社の企業建築物で安全建築物の統一を向上している。
”
11
A.6.1.B
会社は規則に従っているのか?
●Defense in Depth 建築物規則
●最小限の特権建築物規則
●不履行拒否原則
●安全欠如原則
Defense in Depth 建築物原則によりますと、一層の折衷案だけではなく適応申請のような建物申請のとき一層以上の安全保護でなければならない。
According to Least privilege architecture principle a user or a program should access only minimum information and resources that are needed for its legitimate purpose.
According to defaults deny principle by default everything not explicitly permitted and should be forbidden.
According to fail secure principle information should not be accessible to unauthorized entities in the event of a system failure.
--
These principles are not followed or there is no idea on these principles in the organization.
These principles are followed in ad hoc manner.
-
These principles are followed always but not formally defined in the policy.
-
These principles are formally defined in the policy and followed.
最低限の特権構造原則によると、スーザやプログラムは法的目的に必要な最小限の情報や資源にだけアクセスすべきである。
デフォルトによるデフォルト否定原則によると、すべてが明確に許可されず、禁止されるべきでない。
確保できない原則によると、システム誤作動の場合には情報が不認可団体にアクセスできないようにすべきである。
これらの原則は従っていないか、組織内のこれらの原則に関する考えがある。
これらの原則は当面の問題には従っていない。
これらの原則にいつも従っているが、施策として正式に規定されていない。
これらの原則は施策に正式に規定され、これに従っている。
12
A.6.1.C
Is there a process for security risk monitoring?
Risk Monitoring is a process of analyzing and identifying new risks tracking identified risks monitoring residual risks executing risk response plans and evaluating their effectiveness throughout the project.
12
A.6.1.c
セキュリティーリスクのモニタリングはありますか?
リスクモニタリングとは、新しいリスクを分析し識別する、識別されたリスクを追跡する、残りのリスクをモニターする、リスクに対応するプランを実行するそして、プロジェクトを通してそれらの効果を評価するプロセスです。
--
No process for risk monitoring or organization has no idea how to establish process for risk monitoring.
Ad hoc awareness of threats or hazards.
Risk monitoring is implemented in an ad hoc manner.
Basic process is established and documented to monitor potential threats or hazards.
Risk monitoring program uses itinerary data to focus effort. Monitoring is integrated into risk disclosure and notification processes.
Process improvement procedures utilized to ensure continuous improvement of the monitoring process with emphasis on predictive threat identification metrics and lessons learned, captured and used to enhance process.
リスク監視や組織化のプロセスはリスク監視のプロセスをどのように構築するかについての考えを含んでいない。
当面の問題についての脅威や弊害についての認識
リスク監視は当面の問題について実行されている。
基本的なプロセスは確立されており、潜在的脅威や弊害を監視するよう文書化されている。
リスク監視プログラムは、努力に注目した訪問地のリストデータを使用している。監視はリスク開示と通知プロセスに統合されている。
前兆となる脅威の特定基準やプロセスを強化するために学習しつかみ使用されるレッスンを強調した、監視プロセスの継続的な改善を確保するために使用されるプロセス改善手続き
13
A.6.1.D
Does the organization performs security risk assessment?
A risk assessment should be conducted to quantify and qualify the potential risks facing the organization.
--
There is no evidence of this practice in the organization.
Organization performs security risk assessment in an ad hoc manner, but couldn't do anything to mitigate risks.
13
A.6.1.D
組織はセキュリティリスク査定を行っていますか。
リスク査定は企業が直面する潜在的リスクを定量化し制限するために行われるべきである。
組織内でこれを実践している証拠はない。
組織は、当面の問題についてのみセキュリティリスク査定を行っているが、リスクを軽減するために何もできていない。
The organization performs risk assessment in an ad hoc manner. Risk identification, prioritization and selection of security controls to mitigate risks is done in an ad hoc way.
The organization has a consistent overall approach of performing risk assessment but most of risk assessment process is undocumented.
The process is fully documented and the risk assessment process is continuously reviewed and used during decision making.
"The focus is on continuous process improvement. The risk assessment process is used to identify new opportunities. The organization performs continuous benchmarking and implements best practices.
"
組織は、当面の問題だけについてリスク査定を行っている。リスクの特定や優先づけ、リスクを軽減するためのセキュリティコントロールの選択は当面の問題についてのみ行われている。
組織は、リスク査定を行う一貫したあらゆるアプローチを行っているが、リスク査定のほとんどは文書化されていない。
プロセスはすべて文書化されており、リスク査定プロセスは一貫して見直され、意思決定の際に使用されている。
継続的なプロセル改善に焦点が置かれている。リスク査定プロセスは新たな機会を特定するために使用されている。組織は継続的な評価基準を行い、最適な実践を行っている。
14
A.6.1.E
Does the organization have an endpoint management policy based approach that requires all the endpoint devices (workstations, laptops, smartphones and tablets) to comply with specific criteria before they are granted access to network resources within the organization?
--
No policy exists.
Policy exists, but not completed.
Policy exists, but is not implemented actually.
Policy exists, and is implemented in part of devices.
Policy exists, and is implemented in all of devices, but the policy is not regularly reviewed.
Policy exists, is implemented in all of devices, and is regularly reviewed to improve.
14
A.6.1.E
組織は、組織内のネットワークリソースへのアクセスを許可する前に、特定の基準に適合するすべての終点デバイス(ワークステーション、ラップトップ、スマートフォン、タブレット)を必要とするアプローチに基づいて終点管理施策を行っていますか。
施策はない。
施策はあるが、完了していない。
施策はあるが、実際に実行されていない
施策はあり、一部のデバイスで実行されている。
施策はあり、すべてのデバイスで実行されているが、施策は定期的に見直されていない。
施策はあり、すべてのデバイスで実行されており、改善のために定期的に見直されている。