TOPNetwork > カード情報のセキュリティ基準PCI DSSへの準拠に潜む真の...

Network

カード情報のセキュリティ基準PCI DSSへの準拠に潜む真の問題は(後)

2018/01/11

Thor Olavsrud CIO

 van Oosten氏は、統制項目に対する強固なライフサイクル管理を確立するための主な指針として、次の5つを挙げる。

 1. 整理統合で扱いやすくする:セキュリティの統制項目を増やすことが正解とは限らない。PCI DSSの標準には、互いに関連するデータ防御の規則や要件が既に数多く含まれている。これを使って統制項目を整理統合し、扱いやすくする。

 2. 専門性の構築に投資する:導入している統制項目の有効性を強化、把握、測定する方法について、社員の知識を増やし、また維持するために、社員への投資を行う。

 3. バランスの取れた手法を適用する:レジリエンスのある強固な内部統制環境を堅持し、統制項目が非準拠の状態になるのを防ぐ。

 4. できる限り自動化する:データ防御のワークフローと自動化を適用したうえで、自動化を頻繁に監査する。人間の関与が必要な統制項目への依存を減らす。

 5. 内部統制環境の設計・運用・管理を行う:統制項目の成果には相互関係がある。最上部に問題があると、最下部の統制項目の成果にも影響が及ぶ。その関係を理解して、効果的かつ持続可能なデータ防御プログラムを実現し、維持していく。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ