« ITGI 「バーゼルIIのためのIT統制目標」コンプライアンスのためのガバナンスとリスクの管理の重要性 | Main | 政府認証基盤(GPKI)が「WebTrust for CA」検証報告書を取得 »

2008.11.11

Google Apps がSAS70 TypeIIとWebTrustの監査を受けていたようですね。。。

 こんにちは、丸山満彦です。Googleといえば、Googleマップがプライバシーを侵害しているようなケースがありいろいろと話題となっておりますが。。。今回はGoogle AppsがSAS70の監査を受けているという話です。。。
 このブログでも、
・2006.08.17 SAS70、監査基準委員会報告書第18号
で紹介していますが、SAS70ってその仕組みがなかなか理解されていませんよね。。。「SAS70認証を取得」とか。。。そういう話ではないんですよね。。。
 そういえば、Webtrustも取得していると書かれていたので調べてみると、どうやらPostiniという会社がWebtrustの監査を受けていて、その会社を買収したようですね。。。

 
■Google Appsへようこそ
常に最新の状態で稼動して提供されるサービス
 Always on, always current service
  ・SaaS 型ソフトウェアを活用したビジネスと IT の生産性の向上 Google のセキュリティと法令順守のサービス
  ・Using Software-as-a-Service to drive business and IT productivity

迷惑メールやウィルスのネットワーク攻撃を事前にブロック
 ・Block spam and viruses before they hit your network


 Googleが買収したPostiniのページには、WebTrustシールがありますね。。。
Postini
Webturst
 「Availability」、「On-line Privacy」、「Security」のクライテリアについてのWebTrustのようですね。
経営者報告書及び監査報告書
 監査はKPMGのようですね。。。ただし、保証している期間は2006年4月1日から2007年3月31日までですが・・・
=====
Availability
The Availability Principle addresses accessibility to the defined system, products, or services as advertised or committed by contract, service-level, or other agreements. This Principle does not, in itself, set an acceptable minimum availability percentage performance level for Web sites or service provider access. The minimum availability percentage is established by mutual agreement (contract) between the customer and the service provider. The criteria include requirements that:
・availability policies exist,
・the entity communicates the defined system availability policies to authorized users,
・the entity uses procedures to achieve its documented system availability objectives in accordance with its defined policies, and
・controls exist to monitor compliance with its defined system availability policies.

On-line Privacy
The On-Line Privacy Principle requires an entity to meet high standards for the protection of personally identifiable information collected through its ecommerce systems. The criteria includes requirements that the entity
・has an effective privacy policy,
・discloses its policy to users,
・uses procedures to achieve its documented privacy objectives in accordance with its defined policies, and
has controls to ensure that the privacy policies are followed.

Security
The Security Principle requires an entity to meet high standards for the protection of the system components from unauthorized access, both logical and physical. The criteria includes requirements that the entity
・has effective security policies,
・discloses its key security practices,
・uses procedures to achieve its documented system security objectives in accordance with its defined policies, and
・has controls to ensure that these policies are followed.
=====

【参考】このブログ
・2008.07.09 地方公共団体組織認証基盤(LGPKI)が「WebTrust for CA」検証報告書を取得
・2006.08.17 SAS70、監査基準委員会報告書第18号

|

« ITGI 「バーゼルIIのためのIT統制目標」コンプライアンスのためのガバナンスとリスクの管理の重要性 | Main | 政府認証基盤(GPKI)が「WebTrust for CA」検証報告書を取得 »

Comments

まるちゃん、お久しぶりです♪

SAS70については、アメリカで仕事をしていても、勘違いしているとしか思えない人に出会う事が少なくはありません。

これって、自分の良い所を自分たちが雇った外部の人間に「その通りだ」と後押ししてもらっているようなもんだと思っています。

SAS70のレポートを取り寄せたとしても、その会社の内部統制の目的に沿った内容が含まれているかまで見て関連づけないと意味ないのではないかしらね。。。

Posted by: koneko04 | 2008.11.12 at 13:55

koneko04さん、コメントありがとうございます。
お久しぶりどすな。。。SAS70はレポートの内容を読まな、あきまへんなぁ。。。

Posted by: 丸山満彦 | 2008.11.15 at 00:56

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/43078326

Listed below are links to weblogs that reference Google Apps がSAS70 TypeIIとWebTrustの監査を受けていたようですね。。。:

« ITGI 「バーゼルIIのためのIT統制目標」コンプライアンスのためのガバナンスとリスクの管理の重要性 | Main | 政府認証基盤(GPKI)が「WebTrust for CA」検証報告書を取得 »