[Translation from English to Japanese ] 6 A.6.1.2 A.6.1.2. Has isolation of conflicting duties and areas of respo...

Additional info

Information Security

Original text

6

A.6.1.2

A.6.1.2. Has isolation of conflicting duties and areas of responsibilities been implemented?

Conflicting duties and areas of responsibility should be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization 's assets.
--
isolation of duties has not been implemented.

Some departments have segregated conflicting duties and areas of responsibility related to sensitive information assets.

The organization has consistently segregated conflicting duties and areas of responsibility related to sensitive information assets but allocation of responsibilities to organizational roles have not been documented.

Translation / Japanese

6

A.6.1.2

A.6.1.2。義務と責任の領域を競合するの単離が実施されていますか？

矛盾する義務と責任の領域が不正または意図しない変更や組織の資産の誤用の機会を減少させるために分離する必要があります。
-
職務の分離が実装されていません。

いくつかの部門は、競合する義務と機密情報資産に関連する責任の領域を分離しています。

組織は、一貫して矛盾する義務と機密情報資産が、組織の役割に責任の割り当てが文書化されていないに関連する責任の領域を分離しています。

Translation / Japanese

6

A.6.1.2

A.6.1.2.
対立的任務と責任領域の分離は、実行されていますか？

無許可のもしは非意図的な修正の機会ならびに組織の資産の不正使用を減らすため、対立的任務および責任領域は分離されなければなりません。、
－
任務の分離は、実行されていません。

一部の部門で、対立的任務とデリケートな情報資産に関連する責任領域を分離しています。

組織は対立的任務とデリケートな情報資産に関連する責任領域を一貫して分離してきましたが、組織的役割に対する責任の割り当ては文書化されていません。。

Translation / Japanese

６
A.6.1.2.

A.6.1.2.　責任の矛盾した義務や範囲の孤立化は行われていたのか？

責任の矛盾した義務や範囲は無権限、無意識の変更、組織体の財の誤用の機会を縮小させる為に分離されなければいけない。
ーー
責任の孤立化は行われてはいけない。

ある部門は敏感な情報財関係の責任の矛盾する任務や範囲を継続的に分離している。

組織体は敏感な情報財に関係する責任の矛盾する任務や範囲を定期的に分離しなければならないが組織的役割に対する責任の分割は記述されていない。

Translation / Japanese

6

A.6.1.2

A.6.1.2. 競合する義務の分離と責任の領域は実行されましたか？

競合する義務と責任の領域は、組織の財産の未公認または意図しない誤使用の改善の機会を減らすために分離されています。

義務の分離は実行されていません。

慎重に扱うべき情報資産に関する競合する義務と責任の領域を分離している部署もあります。

組織は一貫して慎重に扱うべき情報資産に関する競合する義務と責任の領域を分離してきましたが、組織的役割への責任の再分配は文書化されていません。

Original text

The organization has documented and implemented a RACI matrix to allocate responsibilities for information assets to organizational roles to segregate conflicting duties and areas of responsibility.

Audit trails for access to information assets are maintained and reviewed by management to reduce opportunity for unauthorized or unintentional modification or misuse of assets.

Access to the organizations information assets is monitored with automated tools for unauthorized or unintentional modification or misuse of assets and corrective action taken.

Translation / Japanese

組織は、文書化され、義務と責任の領域を分離するために競合する組織の役割に情報資産に関する責任を割り当てるRACIマトリックスを実施しています。

情報資産へのアクセスの監査証跡を維持し、許可されていない、または意図しない変更や資産の悪用の機会を低減するために経営陣によって見直されます。

組織の情報資産へのアクセスは、撮影した不正または意図しない変更や資産の誤用や是正処置のための自動化ツールを使用して監視されています。

Translation / Japanese

対立する任務と責任の領域を分離するために、組織的役割への情報資産に対する責任を割り当てるため、組織はRACIマトリックスを文書化し実行しています。

無許可のまたは非意図的な修正の機会もしくは資産の不正使用を減らすために、情報資産へのアクセスに対する監査証跡は、経営陣によって維持、チェックされています。

組織情報資産へのアクセスは、無許可のまたは非意図的な修正もしくは資産の不正使用、および補正措置に対する自動化ツールを用いてモニターされています。

Original text

7

A.6.1.3

A.6.1.3. Does the organization maintain appropriate contacts with relevant authorities (Ex. police, government, social infrastructure company) when a trouble or incident occurs?

Appropriate contacts with relevant authorities should be maintained.
--
The organization does not maintain contacts with relevant authorities.

Some departments have identified responsible personnel and authorities to be contacted for reporting of information security incidents.


Departments across the organization have consistently identified responsible personnel and authorities to be contacted for reporting of information security incidents though procedures for contacting authorities has not been defined.

Translation / Japanese

7

A.6.1.3

A.6.1.3。組織は、関連当局（例、警察、政府、社会インフラ会社）トラブルや事故が発生した場合との適切な接触を維持していますか？

関係当局との適切な連絡先は維持されるべきです。
-
組織は、関係当局との接触を維持していません。

いくつかの部門が責任者と当局は、情報セキュリティインシデントの報告のために連絡を同定しました。


接触させる当局のための手順が定義されていないものの、組織全体の部門は一貫して識別され責任者と当局は、情報セキュリティインシデントの報告のために連絡する必要があります。

Translation / Japanese

A.6.1.3
A.6.1.3 その機関が関係当局（警察、政府、社会基盤を支える会社）と適切に連絡を取り合っていたとしたら、いつ問題や事件が起こりうるのか。
適切に関連当局と連絡を取っていくことは肝要である。
--
その機関は関連当局に連絡を取り合うことをしていない。
いくつかの部門では安全に関わる出来事の内容についてはその責任を持つ個人及び当局に報告しなければならないことが定められている。

機関全体にまたがったそれぞれの部門間において、安全に関わる事件の内容を、責任のある個人及び当局に報告するように定められているにもかかわらず、当局に連絡する手順については明確になっていない。

Original text

Procedures are available that specify when and by whom authorities should be contacted and how identified information security incidents should be reported in a timely manner.

Maintenance of contacts with authorities for reporting of information security incidents is linked to business continuity and contingency planning processes and reviewed kept up to date.

Contacts with authorities are used to anticipate and prepare for upcoming changes in laws or regulations and policies of authorities which have to be implemented by the organization.

Translation / Japanese

手順は、タイムリーに報告されるべきであるとき、誰当局に連絡する必要があるとどのように識別された情報セキュリティインシデントによって指定が利用可能です。

情報セキュリティインシデントの報告のための当局との接触を維持することは、ビジネスの継続性と緊急時対応計画のプロセスにリンクされ、最新の状態に保た見直しました。

当局とのコンタクトは、予測し、法令や組織によって実装されなければならない当局の政策の今後の変更の準備をするために使用されます。

Translation / Japanese

手順があることによって、いつ、また当局の誰に連絡すべきなのかを特定し、またその事件についてどのようにタイミングよく報告できるかを明確にすることができる。

東京に安全上の事件の内容を逐次連絡できるような流れを整備していくことは、ビジネスにおいて、日常的または偶発的におこっていく計画のプロセスと、アップデートされていく見直し項目とリンクしている。

当局との結びつきは、機関内で執行すべき最新の法律、規制改定の情報や当局のポリシーなどを予測、準備するために有効である。

Original text

8

A.6.1.4

A.6.1.4. Does the organization maintain appropriate contacts with special interest groups or organization of specialists of information security for advice or information about security?

Appropriate contacts with special interest groups or other specialist security forums and professional associations should be maintained.

--
The organization does not maintain contacts with special interest groups.

Some departments have established contacts with special interest groups to improve knowledge about security best practices.

Translation / Japanese

8

A.6.1.4

A.6.1.4。組織は、セキュリティに関するアドバイスや情報のための特別な利益団体や情報セキュリティの専門家の組織との適切な接触を維持していますか？

特別利益団体や他の専門家のセキュリティフォーラムや専門家団体との適切な連絡先は維持されるべきです。

-
組織は、特別利益団体との接触を維持していません。

いくつかの部門は、セキュリティのベストプラクティスに関する知識を向上させるために特別な利益団体との接触を確立しています。

Translation / Japanese

8

A.6.1.4

A.6.1.4.
組織は、助言またはセキュリティに関する情報を得るのため、ＳＩＧやインフォメーション・セキュリティ専門家組織との適切な接触を維持していますか？

ＳＩＧまたは他の各専門セキュリティ・フォーラム、および専門家協会との適切な接触は維持されなければなりません。

－
組織は、ＳＩＧとの接触を維持していません。

一部部門が、セキュリティのベストプラクティスについての知識を向上させるために、ＳＩＧとの接触を開始しました。

Original text

Departments across the organization have established contacts with relevant specialist security forums and professional associations though there is no recommended list of special interest groups in place.

The organization has established a recommended list of specialist security forums and professional associations that should be consulted for best practices early warnings of advisories information about new technologies etc.

Awareness for requirement for contacts with special interest groups is maintained and refreshed and the list of recommended special interest groups is reviewed and kept up to date.

Translation / Japanese

ＳＩＧの推奨リストは得られていないものの、組織中の部門で、関連した専門セキュリティ・フォーラムおよび専門家協会との接触を開始しています。

組織は、専門家セキュリティ・フォーラムおよび専門家協会の推奨リストを設定しました、新技術その他に関する委員会情報のベストプラクティスの早期警告の相談は、ここになされなければなりません。

ＳＩＧとの接触の必要性の認識は維持、更新されていますし、推奨されたＳＩＧリストはチェックされて、最新状態に維持されています。

Translation / Japanese

現場に特別の利益団体の推奨リストはありませんが、組織中の部署が、関連するスペシャリストセキュリティフォーラムとプロフェッショナル団体とコンタクトをとっています。

組織は、新しい技術などについての提言情報の早期警告を最適に実行するために話し合うべきスペシャリストトセキュリティフォーラムとプロフェッショナル団体の推奨リストを作成しています。

特別の利益団体とコンタクトをとる要件の認識は、維持され見直され、特別の利益団体の推奨リストは見直されアップデートされています。

Translation / Japanese

代わりに特別な利益団体のない推奨リストはありませんが、組織全体の部門は、関連する専門のセキュリティフォーラムや職能団体との接触を確立しています。

組織は、ベストプラクティスのためなどの新技術に関する勧告情報の警告を早期に相談する必要があります専門家安全保障フォーラムや専門職協会の推奨リストを確立しています

特別利益団体との接触のための要件のための意識を維持し、リフレッシュし推奨特別な関心グループのリストを見直し、最新の状態に維持されています。

Original text

Information sharing agreements are established with special interest groups to improve cooperation and coordination of security issues and identify requirements for the protection of confidential information.

9

A.6.1.5

A.6.1.5. Is information security integrated into the organization's project management methods?

Information security should be addressed in project management regardless of the type of the project.

--
Information security is not addressed in the organizations project management methods.

Some departments adopt information security best practices while delivering projects.

Translation / Japanese

セキュリティ問題に関する協力と協調を向上し、機密情報の保護の要件を特定するために、特別の利益集団と情報共有の合意がなされています。

9
A.6.1.5

A.6.1.5.　情報セキュリティは組織のプロジェクト管理方法と統合されていますか。
情報セキュリティは、プロジェクトの種類にかかわらず、プロジェクト管理で対応されるべきです。

情報セキュリティは組織のプロジェクト管理方法で対応されるべきです。
プロジェクトの伝達中に最適なセキュリティ実践を採択している部署もあります。

Translation / Japanese

情報共有契約は、セキュリティ問題の協力と協調を向上させ、機密情報の保護のための要件を特定するために特別な利益団体との間で確立されています。

9

A.6.1.5

A.6.1.5。情報セキュリティは、組織のプロジェクト管理方法に統合されていますか？

情報セキュリティは、プロジェクトの種類に関係なく、プロジェクト管理で対処する必要があります。

-
情報セキュリティは、組織のプロジェクト管理方法で対処されていません。

プロジェクトを実現しながら、いくつかの部門は、情報セキュリティのベストプラクティスを採用しています。

Original text

The organization consistently integrates specific information security measures based on perceived risks into project delivery methods though security requirements have not been standardized and documented.

An information security risk assessment is conducted at the early stage of the project to identify required security controls and information security responsibilities are defined and allocated to specified roles defined in the project management methods.

Information security implications are prioritized addressed and reviewed regularly in all projects.

Implementation of information security objectives is monitored in all projects. Automated tools are used where feasible.

Translation / Japanese

セキュリティ要件が標準化され、文書化されていないものの、組織は、一貫して、プロジェクトの配信方法に知覚されるリスクに基づいて具体的な情報セキュリティ対策を統合します。

情報セキュリティリスクアセスメントを定義し、プロジェクト管理方法で定義された指定したロールに割り当てられている必要なセキュリティコントロールや情報セキュリティに対する責任を識別するために、プロジェクトの初期段階で行われます。

情報セキュリティへの影響に対処し、すべてのプロジェクトで定期的に見直し優先順位付けされます。

情報セキュリティ対策方針の実装は、すべてのプロジェクトで監視されています。自動化ツールは、可能な場合に使用されています。

Translation / Japanese

セキュリティ要件は標準化も文書化もされていないが、組織は一貫して、プロジェクト配信方法に認識されているリスクに基づく特定の情報セキュリティ方法を一体化している。

情報セキュリティリスク査定は、必要とされるセキュリティコントロールを特定するためにプロジェクトの早い段階で行われており、情報セキュリティ責務は決定され、プロジェクト管理方法で決定された特定の役割に分配されている。

情報セキュリティ予測に優先的に対応し、すべてのプロジェクトで定期的に見直されている。
情報セキュリティ対象物の遂行はすべてのプロジェクトで監視されている。自動ツールが実行可能な範囲で使用されている。