1
"A.5.1.1. Have information security policies been defined approved by management published and communicated to employees and relevant external parties?
Is there any exception in the policy?"
A set of policies for information security should be defined approved by management published and communicated to employees and relevant external parties.
--
Information security policies have not been defined for the organization.
Information security policies have been defined for the organization.
"Information security policies have been defined for the organization and approved by management.
But the exception in the policy is not approved."
Information security policies including exception have been defined approved and published.
Information security policies have been defined, approved, published and communicated across the organization. Policies are regularly reviewed.
Changes in the organizations directives are taken into account through regular updates to the organizations information security policies.
![[deleted user]](https://secure.gravatar.com/avatar/695023b4efd563721d13716b1457bc73.png?d=identicon&mode=crop&r=PG&s=42)
情報セキュリティポリシーは組織に明確にされました。
「情報セキュリティポリシーは組織に明確にされ、マネジメントにより認証されましたが、ポリシー上の例外は認証されていません。」
例外を含む情報セキュリティポリシーは明確にされ、認証され、そして公開されました。
情報セキュリティポリシーは明確にされ、認証され、公開され、そして組織によって話し合いがされました。ポリシーは定期的に見直されます。
組織の指令の変動は通常アップデートを通しアカウントに、そして組織情報セキュリティポリシーに取り込まれます。
情報セキュリティーポリシーはその組織体に定義されています。
"情報セキュリティーポリシーはその組織体に定義されており経営者側に承認されています。しかしそのポリシーの例外は認められていません。”
例外を含めた情報セキュリティーポリシーは定義、承認、、発行されています。
情報セキュリティーポリシーは組織体にまたがって定義、承認、発行、、伝達されています。ポリシーは定期的に批評されています。
その組織体の指導者の入れ替えは組織情報セキュリティーポリシーへ定期的更新を考慮に入れる。
情報安全指針は、その組織で承認されています。
“情報安全指針はその組織の為に明確にされ、経営側によって明確にされ、承認されています、しかし、例外については、承認されていません。”
例外を含む情報安全指針は、明確にされ承認されて公表されています。
明確にされ、承認された情報安全指針は、組織全体に公表され、伝達され常時閲覧可能です。
組織の支持が変わった場合は、組織の情報安全指針に常時アップされます。
2
A.5.1.2. Are information security policies reviewed at planned intervals or when significant changes occur to ensure their continued effectiveness?
The policies for information security should be reviewed at planned intervals or if significant changes occur to ensure their continuing suitability adequacy and effectiveness.
--
Information security policies are not reviewed or updated.
Some departments review their information security policies on an ad hoc basis to ensure their continued effectiveness in protecting their sensitive information assets.
The organization reviews its information security policies periodically though roles and responsibilities or frequency of review have not been formally defined.
A.5.1.2 情報セキュリティポリシーは予定通り内部によって見直されるのか、もしくは大きな変化がある場合にそれらの有効性は確保されるのですか?
情報セキュリティのポリシーは内部によって見直されるべきで、もしくは大きな変化がある場合でも有効性は確保されるべきです。
情報セキュリティポリシーは見直されず、アップデートもされない。
部署によっては繊細な情報を守るために情報セキュリティポリシーの見直しはする。
組織の日常的に、責任をもちこの情報セキュリティポリシーを期間的にする見直しは正式に明確にされた。
A.5.1.2. 情報セキュリティーポリシーは計画通りの期間で批評されたのか、それとも何か継続効果を確実にする変化が起こったのか?
情報セキュリティーのポリシーは計画通りの期間で批評されなければいけないのか,それとも継続に似合う妥当性や効果を確実にする為の特記すべき変化が起きたのか。
ーー
情報セキュリティーポリシーは批評されたり更新されたりしない。
ある部門では敏感な情報財を守り継続されている有効性を確固とするためad hocをベイスに情報セキュリティーポリシーを批評している。
組織体は役割や責任を通して定期的に情報セキュリティーポリシーを批評しているのか,又は,頻繁に行われる批評は正式には定義されていないのか。
A.5.1.2。情報セキュリティポリシーは、計画された間隔で見直さ場合や大幅な変更は、その継続的な実効性を確保するために発生していますか?
情報セキュリティポリシーは、計画された間隔で見直されるべきであるかの重要な変更は、それらの継続的な適合性の妥当性と有効性を確保するために発生した場合。
-
情報セキュリティポリシーの見直しや更新されません。
いくつかの部門は、機密情報資産の保護に彼らの継続的な有効性を確保するために臨時にその情報セキュリティポリシーを確認します。
役割と責任やレビューの周波数が正式に定義されていないものの、組織が定期的に情報セキュリティポリシーをレビューします。
The organization follows a documented procedure for policy review at planned intervals. Each policy is assigned an owner who is responsible for the development review and evaluation of the policies.
Policy review for information security takes the results of management reviews into account. Management approval is obtained for revised policies.
Policy review includes assessing for opportunities for improvement of the organization 's policies and approach to managing information security in response to changes to the organizational environment business circumstances legal conditions or technical environment.
情報の安全についての方針の見直しは、管理の見直しの結果を考慮します。管理の承認は、改定後の方針へもたらされます。
方針の確認には、当団体の方針を改善する機会の評価及び当団体の環境、ビジネスの環境、法的な条件またはテクニカルな環境への返答としての情報安全の管理へのアプローチが含まれます。
情報セキュリティポリシーの見直しは、アカウントにマネジメントレビューの結果を取ります。マネジメントの承認が改訂方針について得られます。
政策の見直しは、組織の方針や組織の環境ビジネスの状況、法的条件や技術的な環境の変化に応じて、情報セキュリティを管理するためのアプローチの改善の機会のために評価することも含んでいます。
3
A.5.1.A Are security performance goals and objectives set in the organization?
Capability to set goals and objectives for security performance regarding metrics program management and investment.
--
No goals or objectives have been set.
Some goals or objectives have been set ad hoc.
Goals are set ad hoc and but not reviewed in regularly.
Goals and objectives have been set and sometime reviewed but not all goals are useful.
Performance goals and objectives are set using past data, sometime reviewed for improvement and all goals are useful.
Goals and objectives are set and regularly reviewed for improvement by the Security Organization.
組織内で設定されたセキュリティパフォーマンスの目標と目的はA.5.1.Aていますか?
能力は、メトリクスプログラムの管理と投資に関するセキュリティ性能のための目標と目的を設定します。
-
いいえ目標や目標が設定されていません。
いくつかの目標や目的は、アドホック設定されています。
目標は、広告ホックとを設定するが、定期的に見直されていません。
目標と目的を設定し、いつか見直しではなく、すべての目標が有用であるされています。
パフォーマンスの目標と目的は、いつか改善のための検討過去のデータを使用して設定し、すべての目標は有用です。
目標と目的を設定し、定期的にセキュリティ機関による改善について検討されます。
A.5.1.A 組織内にセキュリティ保護の目標と対象物が設定されていますか?
指標プログラムの管理と投資に関するセキュリティ保護のための目標と対象物の機能
目標あるいは対象物の設定はなされていない。
設定または注意している目標や対象物はいくつかある。
目標と対象物は設定されていて、時には見直されるが、すべての目標が有益なわけではない。
セキュリティ保護の目標と太守汚物は過去のデータを使って設定されており、時には改善のために見直され、すべての目標が有益である。
目標と対象物は設定され、セキュリティ組織によって定期的に改善のために見直されている。
4
A.5.1.B "Is there a specific Recovery Time Objective(s) (RTO)?"
Is there a specific Recovery Point Objective(s) (RPO)?
--
Objectives of RTO and RPO have not been established.
Objectives of RTO and RPO have been established, but Restore & recovery tests are not conducted.
-
Objectives of RTO and RPO have been established, and Restore & recovery tests are conducted for once.
"Objectives of RTO and RPO have been established, and Restore & recovery tests are conducted regularly.
Objective is reviewed ad hoc."
Restore & recovery tests are conducted and Objectives of RTO and RPO is reviewed regularly.
特定のも目標復旧時点(RPO)はありますか?
--
RTO及びRPOの目標値は設定されています。
RTO及びRPOの目標値は設定されていますが、リストア及びリカバリテストは行われません。
-
RTO及びRPOの目標値は設定されており、リストア及びリカバリテストは一度だけ行われます。
”RTO及びRPOの目標値は設定されており、リストア及びリカバリテストは定期的に行われます。目標値は暫定的に見直されます。”
リストア及びリカバリテストは行われ、RTO及びRPOの目標値は定期的に見直されます。
A.5.1.B「特定の目標復旧時間(秒)(RTO)はありますか?」
特定のリカバリポイント目標(複数可)(RPO)はありますか?
-
RTOとRPOの目標が確立されていません。
RTOとRPOの目標は、確立されたが、リストア&リカバリ·テストが行われていないされています。
-
RTOとRPOの目標は、確立、およびリストア&リカバリテストは一回のために行われてきました。
「RTOとRPOの目標が確立、およびリストア&リカバリテストが定期的に実施されてきました。
目的は、アドホック見直されています。」
リストア&リカバリテストが実施され、RTOとRPOの目標は定期的に見直されています。
翻訳ありがとうございました。