PCI 内部統制レビュー手順

目的

継続的なコントロール監視の一環として、また PCI 要件 12.4.1 および 12.4.1.1 をサポートするために、選択されたコントロールの内部統制レビューを実施します。

プロセス

四半期ごとに、変更管理プロセスのテスト、ログレビューと構成レビューが行われていること、アラートに対応していること、構成が標準に従ってシステムに適用されていることの確認を含む、指定されたアクティビティが要求どおりに実施されていることを確認するための Issue が作成されます。レビュー活動を実施するための手順は、四半期 Issue で詳述されます。

要件

12.4.1: 12.4.1 担当者がすべてのセキュリティポリシーおよび運用手順に従って自分のタスクを実行していることを確認するために、レビューは少なくとも 3 か月に 1 回実施されます。レビューは、指定されたタスクの実行に責任を負う担当者以外の担当者によって実施され、以下のタスクを含みますが、これらに限定されません。

• 日次ログレビュー。 • ネットワークセキュリティコントロールの構成レビュー。 • 新しいシステムへの構成標準の適用。 • セキュリティアラートへの対応。 • 変更管理プロセス。

12.4.2.1: 12.4.2.1 サービスプロバイダーのみの追加要件: Requirement 12.4.2 に従って実施されるレビューは、以下を含めてドキュメント化されます。

• レビューの結果。 • Requirement 12.4.2 で実施されていないことが判明したタスクに対して取られたドキュメント化された是正措置。 • PCI DSS コンプライアンスプログラムの責任を割り当てられた担当者による結果のレビューおよびサインオフ。

ページのソースコードを見る - ページの編集 - please contribute.