【和訳】PIC/Sのデータインテグリティガイダンス【第16回】

【第16回】データマネジメント(いわゆるデータインテグリティ:DI)のPIC/Sガイドライン最終版の和訳です。
5. Expectation/期待されること
Periodic System Evaluation
Computerized systems should be evaluated periodically in order to ensure continued compliance with respect to data integrity controls. The evaluation should include deviations, changes (including any cumulative effect of changes), upgrade history, performance and maintenance, and assess whether these changes have had any detrimental effect on data management and integrity controls.
定期的なシステム評価
コンピュータ化されたシステムは、データインテグリティ管理に関する要件を継続的に遵守していることを確認するために、定期的に評価されるべきである。評価には、逸脱、変更(変更の累積的影響を含む)、アップグレードの履歴、パフォーマンスおよびメンテナンスを含み、これらの変更がデータ管理および完全性の管理に有害な影響を与えていないかどうかを評価する必要がある。
The frequency of the re-evaluation should be based on a risk assessment depending on the criticality of the computerized systems considering the cumulative effect of changes to the system since last review. The assessment performed should be documented.
再評価の頻度は、前回のレビュー以降にシステムに加えられた変更の累積的な影響を考慮し、対象であるコンピュータ化システムの重要性に応じたリスク評価に基づくべきである。実施された評価は、文書化すべきである。
Potential risk of not meeting expectations/items to be checked
期待を満たさないことによる潜在的なリスク/チェックすべき項目
・Check that re-validation reviews for computerized systems are outlined within validation schedules.
コンピュータ化システムの再検証レビューの概略がバリデーションスケジュールに記載されていることを確認する。
・Verify that systems have been subject to periodic review, particularly with respect to any potential vulnerabilities regarding data integrity.
システムが定期的にレビューされていること、特にデータの完全性に関する潜在的な脆弱性に関する検証が行われていることを確認する。
・Any issues identified, such as limitations of current software/hardware should be addressed in a timely manner and corrective and preventive actions, and interim controls should be available and implemented to manage any identified risks.
現行のソフトウェア/ハードウェアの限界などの問題が特定された際には適時に対処し、是正措置、予防措置や暫定的な管理を計画・実施することで、特定されたリスクを管理しなければならない。
6. Expectation/期待されること
Operating systems and network components (including hardware) should be updated in a timely manner according to vendor recommendations and migration of applications from older to newer platforms should be planned and conducted in advance of the time before the platforms reach an unsupported state which may affect the management and integrity of data
generated by the system.
オペレーティングシステムおよびネットワークコンポーネント(ハードウェアを含む)は、ベンダーの推奨に従って適時に更新すべきであり、古いプラットフォームから新しいプラットフォームへのアプリケーションの移行は、システムで生成されたデータの管理および完全性に影響を与える可能性があるサポートされない状態にプラットフォームが到達する前に、事前に計画し、実施すべきである。
Security patches for operating systems and network components should be applied in a controlled and timely manner according to vendor recommendations in order to maintain data security. The application of security patches should be performed in accordance with change
management principles.
データのセキュリティを維持するため、オペレーティングシステムおよびネットワークコンポーネントのセキュリティパッチは、ベンダーの推奨に従い、管理された方法でタイムリーに適用すべきである。セキュリティパッチの適用は、変更管理の原則に基づいて行う必要がある。
Where unsupported operating systems are maintained, i.e. old operating systems are used even after they run out of support by the vendor or supported versions are not security patched, the systems (servers) should be isolated as much as possible from the rest of the network. Remaining interfaces and data transfer to/from other equipment should be carefully designed, configured and qualified to prevent exploitation of the vulnerabilities caused by the unsupported operating system.
サポートされていないオペレーティングシステムが維持されている場合、すなわち、ベンダーのサポートが終了した後も古いオペレーティングシステムが使用されていたり、サポートされているバージョンであってもセキュリティパッチが適用されていないような場合は、そのシステム(サーバ)をネットワークの他の部分から可能な限り切り離す必要がある。残りのインターフェースや他の機器とのデータ転送については、サポートされていないオペレーティングシステムに起因する脆弱性が悪用されないように、慎重に設計・設定を行い、適格性を認定するべきである。
Remote access to unsupported systems should be carefully evaluated due to inherent vulnerability risks.
サポートされていないシステムへのリモートアクセスは、固有の脆弱性リスクがあるため、慎重に評価する必要がある。
Potential risk of not meeting expectations/items to be checked
期待を満たさないことによる潜在的なリスク/チェックすべき項目
・Verify that system updates are performed in a controlled and timely manner. Older systems should be reviewed critically to determine whether appropriate data integrity controls are integrated, or, (where integrated controls are not possible) that appropriate administrative controls have been implemented and are effective.
システムの更新が管理された方法でタイムリーに行われていることを確認する。古いシステムについては、適切なデータインテグリティ制御手段が統合されているかどうか、あるいは(統合的制御が不可能な場合)適切な管理的制御が実施され、かつ有効であるかどうかを判断するために、批判的にレビューすべきである。
3ページ中 1ページ目
コメント
/
/
/
この記事へのコメントはありません。
コメント