[Translation from English to Japanese ] 10 A.6.1.A "Is security architecture integrated with the organization's enter...

Additional info

Information Security

Original text

10 A.6.1.A "Is security architecture integrated with the organization's enterprise architecture?

Security architecture should be incorporated into the organization's enterprise architecture.

There is no integration of security architecture with organization 's enterprise architecture.

Security architecture is integrated in an ad hoc way with the organization's enterprise architecture.

Discussions are in progress to formally integrate security architecture with the organization's enterprise architecture.

Security architecture is integrated into the organization's enterprise architecture based on a defined policy.

Translation / Japanese

10 A.6.1.A ”セキリュティアーキテクチャーは、組織の事業構造と一体となっているでしょうか？”

セキリュティアーキテクチャーは、組織の事業構造に組み込まれるべきです。

セキリュティアーキテクチャーは、組織の事業構造と統合していません。

セキリュティアーキテクチャーは、臨機応変に組織の事業構造に組み込まれます。

セキュリティアーキテクチャーを組織の事業構造に形式的に統合するための議論は、進められています。

セキュリティアーキテクチャーは、明らかにされた方針に基づいて、組織の事業構造に統合されます。

Translation / Japanese

10. A.6.1.A 「セキュリティ建築は組織の企業建築と統合されているのですか？」

セキュリティ建築は組織の企業建築に組み入れられるべきです。

セキュリティ建築と組織の建築との統合はありません。

セキュリティ建築はad hocのやり方で組織と統合されます。

セキュリティ建築と組織の企業建築の正式な統合のために話し合いは進行中です。

セキュリティ建築は明確なポリシーを元に組織の企業建築と統合される。

Original text

"The organization continuously reviews the integration of security architecture with the organization's enterprise architecture.
"

"The organization continuously improves the integration of security architecture with the organization's enterprise architecture.
"

11

A.6.1.B

Does the organization follow the principles?
・defense in depth architecture principle
・least privilege architecture principle
・defaults deny principle
・fail secure principle


According to Defense in Depth architecture principle there should be more than one layer of protection when building applications such that the compromise of one layer does not compromise the application.

Translation / Japanese

”会社は継続的に会社の企業建築物で安全建築物の統一を批評している。
”

”会社は継続的に会社の企業建築物で安全建築物の統一を向上している。
”

11

A.6.1.B

会社は規則に従っているのか？
●Defense in Depth 建築物規則
●最小限の特権建築物規則
●不履行拒否原則
●安全欠如原則

Defense in Depth 建築物原則によりますと、一層の折衷案だけではなく適応申請のような建物申請のとき一層以上の安全保護でなければならない。

Translation / Japanese

「組織は、継続的に組織のエンタープライズアーキテクチャとセキュリティアーキテクチャの統合を検討します。
"

「組織は、継続的に組織のエンタープライズアーキテクチャとセキュリティアーキテクチャの統合を向上させます。
"

11

A.6.1.B

組織は、原則に従うのでしょうか？
·深さ·アーキテクチャ原則の防衛
·最小特権アーキテクチャ原則
·デフォルトは原則を否定します
·安全な原理を失敗


1層の妥協がアプリケーションを損なわないように、アプリケーションを構築する際の防衛による奥行きアーキテクチャ原則的に保護の複数の層があるはずです。

Original text

According to Least privilege architecture principle a user or a program should access only minimum information and resources that are needed for its legitimate purpose.

According to defaults deny principle by default everything not explicitly permitted and should be forbidden.

According to fail secure principle information should not be accessible to unauthorized entities in the event of a system failure.

--
These principles are not followed or there is no idea on these principles in the organization.

These principles are followed in ad hoc manner.

-

These principles are followed always but not formally defined in the policy.

-

These principles are formally defined in the policy and followed.

Translation / Japanese

ユーザーまたは最小限の情報のみ、その合法的な目的のために必要とされるリソースにアクセスする必要がありますプログラムは、最小特権アーキテクチャ原理によります。

デフォルトによると、デフォルトのすべてによって原理が明示的に許可して禁止されるべきではない拒否。

安全な原則フェイル情報によると、システム障害が発生した場合に不正なエンティティにアクセスできないようにしてください。

-
これらの原則は守られていないか、組織内のこれらの原則にはアイデアがありません。

これらの原則は、アドホックな方法で続いています。

-

これらの原則は常に続くが、正式ポリシーで定義されていません。

-

これらの原則は、正式に、ポリシーで定義され、守られています。

Translation / Japanese

最低限の特権構造原則によると、スーザやプログラムは法的目的に必要な最小限の情報や資源にだけアクセスすべきである。
デフォルトによるデフォルト否定原則によると、すべてが明確に許可されず、禁止されるべきでない。
確保できない原則によると、システム誤作動の場合には情報が不認可団体にアクセスできないようにすべきである。
これらの原則は従っていないか、組織内のこれらの原則に関する考えがある。
これらの原則は当面の問題には従っていない。

これらの原則にいつも従っているが、施策として正式に規定されていない。

これらの原則は施策に正式に規定され、これに従っている。

Original text

12

A.6.1.C

Is there a process for security risk monitoring?

Risk Monitoring is a process of analyzing and identifying new risks tracking identified risks monitoring residual risks executing risk response plans and evaluating their effectiveness throughout the project.

Translation / Japanese

12

A.6.1.C

セキュリティリスク監視のための方法はありますか？

リスク監視は、分析し、残余リスク、リスク対応計画を実行し、プロジェクト全体を通じてその有効性を評価し監視する特定されたリスクを追跡する新たなリスクを特定するプロセスです。

Translation / Japanese

12

A.6.1.c

セキュリティーリスクのモニタリングはありますか？

リスクモニタリングとは、新しいリスクを分析し識別する、識別されたリスクを追跡する、残りのリスクをモニターする、リスクに対応するプランを実行するそして、プロジェクトを通してそれらの効果を評価するプロセスです。

Original text

--
No process for risk monitoring or organization has no idea how to establish process for risk monitoring.

Ad hoc awareness of threats or hazards.

Risk monitoring is implemented in an ad hoc manner.

Basic process is established and documented to monitor potential threats or hazards.

Risk monitoring program uses itinerary data to focus effort. Monitoring is integrated into risk disclosure and notification processes.

Process improvement procedures utilized to ensure continuous improvement of the monitoring process with emphasis on predictive threat identification metrics and lessons learned, captured and used to enhance process.

Translation / Japanese

-
リスク監視や組織のためのプロセスは、リスク監視のためのプロセスを確立する方法は考えを持っていません。

アドホック脅威や危険の認識。

リスク監視は、アドホックな方法で実装されています。

基本的なプロセスを確立し、潜在的な脅威や危険を監視するために文書化されています。

リスク監視プログラムは、努力を集中する旅程データを使用します。モニタリングは、リスクの開示及び通知プロセスに統合されています。

予測脅威の識別指標と教訓を重視した監視プロセスの継続的な改善を確実にするために利用されるプロセス改善手順は、捕捉され、プロセスを向上させるために使用さを学びました。

Translation / Japanese

リスク監視や組織化のプロセスはリスク監視のプロセスをどのように構築するかについての考えを含んでいない。
当面の問題についての脅威や弊害についての認識
リスク監視は当面の問題について実行されている。
基本的なプロセスは確立されており、潜在的脅威や弊害を監視するよう文書化されている。
リスク監視プログラムは、努力に注目した訪問地のリストデータを使用している。監視はリスク開示と通知プロセスに統合されている。
前兆となる脅威の特定基準やプロセスを強化するために学習しつかみ使用されるレッスンを強調した、監視プロセスの継続的な改善を確保するために使用されるプロセス改善手続き

Original text

13

A.6.1.D

Does the organization performs security risk assessment?

A risk assessment should be conducted to quantify and qualify the potential risks facing the organization.

--
There is no evidence of this practice in the organization.

Organization performs security risk assessment in an ad hoc manner, but couldn't do anything to mitigate risks.

Translation / Japanese

13

A.6.1.D

組織がセキュリティリスクアセスメントを行い、いますか？

リスクアセスメントは、定量化し、組織が直面する潜在的なリスクを修飾するために実施されるべきです。

-
組織内でこのような行為の証拠はありません。

組織は、アドホックな方法でセキュリティリスクアセスメントを実行しますが、リスクを軽減するために何もできませんでした。

Translation / Japanese

13

A.6.1.D
組織はセキュリティリスク査定を行っていますか。
リスク査定は企業が直面する潜在的リスクを定量化し制限するために行われるべきである。

組織内でこれを実践している証拠はない。

組織は、当面の問題についてのみセキュリティリスク査定を行っているが、リスクを軽減するために何もできていない。

Original text

The organization performs risk assessment in an ad hoc manner. Risk identification, prioritization and selection of security controls to mitigate risks is done in an ad hoc way.

The organization has a consistent overall approach of performing risk assessment but most of risk assessment process is undocumented.

The process is fully documented and the risk assessment process is continuously reviewed and used during decision making.

"The focus is on continuous process improvement. The risk assessment process is used to identify new opportunities. The organization performs continuous benchmarking and implements best practices.
"

Translation / Japanese

組織は、当面の問題だけについてリスク査定を行っている。リスクの特定や優先づけ、リスクを軽減するためのセキュリティコントロールの選択は当面の問題についてのみ行われている。

組織は、リスク査定を行う一貫したあらゆるアプローチを行っているが、リスク査定のほとんどは文書化されていない。

プロセスはすべて文書化されており、リスク査定プロセスは一貫して見直され、意思決定の際に使用されている。

継続的なプロセル改善に焦点が置かれている。リスク査定プロセスは新たな機会を特定するために使用されている。組織は継続的な評価基準を行い、最適な実践を行っている。

Translation / Japanese

組織は、アドホックな方法でリスク評価を行います。リスクの特定、優先順位付けとセキュリティの選択は、アドホックな方法で行われるリスクを軽減するように制御します。

組織が行うリスク評価の一貫性のある総合的なアプローチがありますが、リスク評価プロセスのほとんどは、文書化されていません。

プロセスは完全に文書化され、リスク評価プロセスは継続的に検討し、意思決定の際に使用されます。

「焦点は、継続的なプロセス改善にある。リスク評価プロセスは、新たな機会を特定するために使用される。組織が連続ベンチマークを実行し、ベストプラクティスを実装しています。

Original text

14

A.6.1.E

Does the organization have an endpoint management policy based approach that requires all the endpoint devices (workstations, laptops, smartphones and tablets) to comply with specific criteria before they are granted access to network resources within the organization?
--
No policy exists.

Policy exists, but not completed.

Policy exists, but is not implemented actually.

Policy exists, and is implemented in part of devices.

Policy exists, and is implemented in all of devices, but the policy is not regularly reviewed.

Policy exists, is implemented in all of devices, and is regularly reviewed to improve.

Translation / Japanese

14

A.6.1.E

組織は、組織内のネットワークリソースへのアクセスを許可する前に、特定の基準に適合するすべての終点デバイス（ワークステーション、ラップトップ、スマートフォン、タブレット）を必要とするアプローチに基づいて終点管理施策を行っていますか。
施策はない。
施策はあるが、完了していない。
施策はあるが、実際に実行されていない
施策はあり、一部のデバイスで実行されている。
施策はあり、すべてのデバイスで実行されているが、施策は定期的に見直されていない。
施策はあり、すべてのデバイスで実行されており、改善のために定期的に見直されている。

Translation / Japanese

14

A.6.1.E

組織は、彼らが組織内のネットワークリソースへのアクセスを許可される前に、特定の基準に準拠するすべてのエンドポイントデバイス（ワークステーション、ラップトップ、スマートフォンやタブレット）を必要とするエンドポイント管理ポリシーベースのアプローチを持っていますか？
-
いいえポリシーは存在しません。

ポリシーが存在しますが、完了していません。

ポリシーが存在しますが、実際に実装されていません。

ポリシーが存在し、デバイスの一部に実装されています。

ポリシーが存在し、すべてのデバイスに実装されていますが、ポリシーは定期的に見直されていません。

ポリシーは、すべてのデバイスに実装され、存在していて、定期的に改善するために見直されます。