|
技術的及び組織的措置
|
Technical And Organisational Measures
|
|
KLDiscovery は、顧客から受領、処理、移転、送信、保存、提供、またはその他の方法でアクセスする個人データの安全性を確保するために、慎重かつ広く認められたあらゆる措置を講じます(「情報セキュリティプログラム」)。
|
KLDiscovery shall take all prudent and recognised steps to ensure the security of the Personal Data it receives, processes, transfers, transmits, stores, delivers, and/or otherwise accesses from Clients (“Information Security Program”).
|
|
定義
「リソース」とは、KLDiscoveryが本契約及びSOWに基づき、個人データを保存、処理、移転、送信、保存、提供、またはその他の方法によりアクセスする、すべての機器を意味し、これにはノートパソコン、PC、ルーター、サーバー、その他のコンピューターシステムを含むがこれらに限定されない。
|
Definitions
“Resource” means all KLDiscovery devices, including but not limited to laptops, PCs, routers, servers, and other computer systems that store, process, transfer, transmit, deliver or otherwise access the Personal Data.
|
|
情報セキュリティプログラム
KLDiscoveryは、包括的な情報セキュリティプログラムを維持するものとする。当該プログラムには、KLDiscoveryの業務の複雑性、性質及び範囲、並びに情報資産の機微性に応じた管理的、技術的及び物理的な保護措置を含めるものとする。当該保護措置には、以下に定める要素が含まれ、次の目的を合理的に達成するよう設計されているものとする。(1) 個人データの安全性および機密性を確保すること。(2) 個人データの安全性または完全性に対する予見可能な脅威や危険を防止すること。(3) クライアントに重大な損害または不便をもたらすおそれのある、個人データへの不正アクセスまたは不正利用を防止すること。(4) クライアントに対し、管理措置の継続的な有効性を保証すること。
|
Information Security Program
KLDiscovery will maintain a comprehensive Information Security Program that contains administrative, technical, and physical safeguards appropriate to the complexity, nature, and scope of its activities, and the sensitivity of its information assets. Such safeguards will include the elements set forth below and will be reasonably designed to: (1) Achieve the security and confidentiality of Personal Data; (2) Protect against any anticipated threats or hazards to the security or integrity of Personal Data; (3) Protect against unauthorised access to or use of Personal Data that could result in substantial harm or inconvenience to Client; and (4) Provide assurances to Client of the ongoing effectiveness of controls.
|
|
情報セキュリティ要件
情報セキュリティ方針及びガバナンス
KLDiscoveryの情報セキュリティプログラムは、ISO 27001に記載された実務及び本情報セキュリティ要件文書に記載された内容と整合するものとする。当該情報セキュリティプログラムの管理の一環として、KLDiscoveryは、経営幹部会議に付議し、新規ポリシー並びに既存ポリシーの変更を審議のうえ承認する。KLDiscoveryは、当該情報セキュリティプログラムへの遵守が確保されない状況を特定・承認・管理するための正式なプロセスを設け、これによりリスクを管理する。
|
Security Requirements
Information Security Policies and Governance
KLDiscovery’s Information Security Program will be consistent with the practices described in ISO 27001 and this Security Requirements Document. As part of the management of its Information Security Program, KLDiscovery will use a senior management forum to review and approve all new policies and changes to existing policies. A formal process will be used by KLDiscovery to manage risk by identifying, approving and managing those situations where compliance with its Information Security Program is not obtained.
|
|
情報資産の管理責任
KLDiscoveryは、個人データを含む自らの管理下にある情報資産に対して責任を負う情報資産オーナーを指定する。個人データの伝送、開示、保管及び破棄に関する具体的要件を定め、個人データのライフサイクル全体を網羅するものとする。KLDiscoveryは、各リソースにシステムオーナーを割り当てる。システムオーナーは、個人データの機密性、可用性及び完全性を維持するため、機器の保守及びパッチレベルの維持を含むセキュリティ管理措置への遵守を確保する全体責任を負うものである。
|
Information Stewardship
KLDiscovery will designate information owners who are responsible for information assets under their control, including Personal Data. Specific requirements for transmission, disclosure, storage, and destruction will address the entire lifecycle of Personal Data. KLDiscovery will assign a systems owner for each Resource. The systems owner has the overall responsibility to ensure compliance with security controls including the maintenance of the equipment and patch level to support the confidentiality, availability and integrity of Personal Data.
|
|
機密性及び完全性
KLDiscoveryは、記録媒体の種別にかかわらず、作成、変換及び利用、保管、並びに破棄に至るまでの全ライフサイクルを通じて個人データが保護されるよう、体系的かつ管理されたセキュリティアプローチを採用する。個人データの機密性及び完全性を確保するため、個人データの分類に応じて具体的な管理措置を実装する。統制コンポーネントを用いて、社内外の関係者双方に対するアクセス制御要件、暗号化、ラベル付け及び開示、輸送・取扱い、並びに廃棄に関する要件を定義する。
|
Confidentiality and Integrity
KLDiscovery will utilise a managed approach to security to ensure that Personal Data is protected through the entire life cycle, from creation, transformation and use, storage and destruction regardless of the storage media. Specific controls will be implemented according to the classification of the Personal Data to protect the confidentiality and integrity of the Personal Data. Control components will be used to specify access control requirements, encryption, labelling and disclosure for both internal and external parties, shipping and handling, and destruction.
|
|
脆弱性管理
ファイアウォール、ルーター、サーバー、PC、その他すべてのリソースは、適切なセキュリティ固有のシステムパッチを適用し、可能な限り最新の状態に維持する。KLDiscoveryは、自社のセキュリティ体制を評価するため、独立した第三者機関による定期的なペネトレーションテストを実施する。 KLDiscoveryは、既知の脆弱性を検出するため、リソースに対して定期的な試験(パッチ管理、ポートスキャン、ウイルススキャン等)を実施する。主要な技術要素は、ベストプラクティスに基づく基準に従って構成され、不要なサービス及びリソースを不要なリスクに曝し得るその他の構成オプションを削除若しくは無効化する。KLDiscoveryは、すべての脆弱性の重大度に応じた是正スケジュールを維持し、高リスクまたは重大な脆弱性について、合理的な期間内に対処されることを保証するものとする。
|
Vulnerability Management
Firewalls, routers, servers, PC’s, and all other Resources will be kept as current as possible with appropriate security-specific system patches. KLDiscovery will perform regular penetration tests to be completed by independent third parties to further assess KLDiscovery’s security preparedness. KLDiscovery will perform regular tests of its Resources to detect any known vulnerabilities (patch management, port scanning, virus scanning, etc.). All major technologies will be configured to best practice standards to remove unnecessary services and other configuration options that can subject the Resources to unnecessary risk. KLDiscovery will maintain a schedule for remediation for all vulnerability criticalities and ensure that vulnerabilities that are high or critical in nature are addressed in a reasonable time frame.
|
|
物理的セキュリティ
個人データが保管されている、またはアクセス可能である施設に対する物理的アクセス権の付与、変更及び取消しを行うセキュリティ機能を設けるものとする。
|
Physical Security
A security function will exist to grant, adjust and revoke physical access to facilities where Personal Data resides or can be accessed.
|
|
敷地境界の物理的統制
KLDiscoveryの各施設の外周は、一般公衆による無権限の立入を防止できる水準の物理的セキュリティを確保する。施設の外部には、当該施設で個人データが処理または保管されていることを示す表示を設けない。外部の窓、出入口、その他の進入経路には、無権限の侵入発生時に警報を発する警報装置を設置する。外部扉は自動閉鎖し、無権限の侵入時に警報が作動するものとする。
|
Exterior Physical Controls
The exterior of each KLDiscovery facility will be physically secure to prevent the public from unauthorised entry. No signs outside the facility will show that Personal Data is processed or stored at the facility. Exterior doors will be alarmed to warn when unauthorised entry occurs. Exterior doors will close automatically. Where appropriate, perimeter fences/gates will be in place and secured.
|
|
施設内部の物理的統制
KLDiscoveryの従業員には、個別に割り当てた一意のバッジを付与し、当該バッジにより識別するものとする。すべてのバッジシステムには、個人、タイムスタンプ及びアクセスした扉または区域を特定するログ機能を備えるものとする。施設内部の物理的統制には、訪問者管理、クリーンデスクの実施、火災検知・消火設備、インシデント対応手順、入退室管理、セキュリティ照明、並びに従業員及び資産の安全を維持することを目的とするその他の措置を含む。
|
Interior Physical Controls
Assigned KLDiscovery personnel will be identified with a uniquely assigned badge. All badging systems will have a logging mechanism that will identify the individual, timestamp and door or area accessed. Interior physical security controls also include visitor management, clean desk practices, fire detection and suppression systems, incident response procedures, controlled access, security lighting, and other measures designed to protect personnel and assets.
|
|
個人データの廃棄
すべての個人データは、当該媒体を廃棄する前に種類(ハードコピー、磁気媒体、光媒体その他の形態)を問わず媒体より完全に消去するものとする。消去は、次のいずれかの方法により実施されるものとする。(a)当該施設内において、 従業員が市販のシュレッダー機器、ソフトウェアその他の手段を用いて実施する方法。 (b) 信頼できる第三者シュレッダーサービスによる方法。
|
Destruction of Personal Data
All Personal Data will be destroyed from any media, whether hard copy, magnetic, optical or any other form, before disposing of such media: (a) on or about the premises by assigned staff using commercially available shredding devices, software, or other means; or (b) by a reputable third-party shredding service.
|
|
記録及び監視
監査ログには、個人データへのアクセス、新規ユーザーの追加、セキュリティ構成の変更試行、システムの起動、バックアップ、シャットダウン、及び無効なログイン試行を記録するものとする。監査ログは保護された状態で保持され、定期的に自動または手動でレビューを行うものとし、少なくとも90日間保持するものとする。
|
Logging and Monitoring
Audit logs will capture access to Personal Data, new user additions, attempts to change security configuration, system start up, back up, shut down, and invalid login attempts. Audit logs will be retained in a protected state and will be reviewed regularly in an automated or manual fashion and retained for at least 90 days.
|
|
侵入検知及び防御
KLDiscoveryは、クライアントへのサービス提供に使用する電気通信システム及びコンピュータシステム並びにネットワーク機器を保護し、第三者による侵入・ハッキング、アクセス侵害または情報漏えいのリスクを低減するため、次の措置を講じるものとする。(a) 侵入に対する防御。(b) コンピュータシステム及びネットワーク機器のセキュリティを確保すること。(c) オペレーティングシステムまたはソフトウェアへの侵入に対する防御。セキュリティ違反及び異常または不審な事象・インシデントに対応するためのプロセス及び手順を策定し、情報資産へのさらなる損害を防止するとともに、違反者の特定及び法的措置を可能にするものとする。KLDiscoveryは、クライアントに影響を及ぼす実際のセキュリティ違反またはインシデントをクライアントに報告するものとする。
|
Intrusion Detection and Prevention
KLDiscovery will use security measures to protect the KLDiscovery telecommunications system and any computer system or network device that KLDiscovery uses to provide services to Client to reduce the risk of infiltration, hacking, access penetration by or exposure to a third-party by: (a) protecting against intrusions; (b) securing the computer systems and network devices; and, (c) protecting against intrusions of operating systems or software. Processes and procedures will be established for responding to security violations and unusual or suspicious events and incidents to limit further damage to information assets and to permit identification and prosecution of violators. KLDiscovery will report actual security violations or incidents that impact Client to Client.
|
|
マルウェア防御
KLDiscoveryは、次のコンピュータマルウェア検知・スキャンサービス及び手順を使用するものとする。a)いかなる データ、ファイルその他の資料を送信、アクセス若しくは提出する前(単独または総称して「データ送信」という)に、市販のコンピュータウイルス検知機能を実装し、維持すること。 b) クライアントに影響を及ぼすまたは及ぼすおそれのあるコンピュータウイルスその他のマルウェアを検知した場合、クライアントに通知し、直ちにデータ送信を停止し、当該コンピュータウイルスまたはマルウェアがクライアントの満足する水準で排除または封じ込められるまで再開しないこと。c) すべてのデータ送信の手段及びクライアントが指示するその他の箇所に、当該コンピュータウイルス検知・スキャン機能をインストールし、使用すること。KLDiscoveryは、アンチウイルスソフトウェアを常に最新の状態に維持し、ソフトウェア供給元から新たなウイルス定義ファイルが提供された際には速やかにインストールするものとする。
|
Malware Defense
KLDiscovery will use the following computer malware detection/scanning services and procedures: a) prior to sending any data, files or other material and/or accessing or submitting the same (singularly or collectively “Data Sending”), implement and maintain commercially available computer virus detection; b) upon detecting a computer virus or other malware that has affected or will affect client, notify Client and immediately cease Data Sending and do not resume the same until the computer virus or malware has been eliminated or contained to the satisfaction of Client; and, c) install and use such computer virus detection/scanning on all Data Sending mechanisms as well as at any other points directed by Client. KLDiscovery will keep all anti-virus software up-to-date by installing new definition files when made available by the anti-virus supplier.
|
|
職務分掌
KLDiscoveryは、システム及びネットワークへのアクセスを含め、KLDiscovery従業員間で適切な職務分掌の分離を確保するための管理策を維持する。職務は、個人が自己の誤りや不正を隠蔽する機会を持たないような方法で割り当てられる。職務分掌は、次の機能間または機能内において維持されるものとする。すなわちコンピューター運用、ネットワーク管理、システム管理、開発、変更管理、セキュリティ管理、及び家族関係者である。
|
Segregation of Duties
KLDiscovery maintains controls designed to provide adequate segregation of duties among KLDiscovery personnel, including access to systems and networks. Duties are assigned in such a manner that a person will not have the opportunity to conceal their errors or irregularities. Segregation of duties shall be maintained among and/or within the following functions: computer operations, network management, system administration, development, change management, security administration and family members.
|
|
暗号化及び公開鍵基盤
すべての個人データは、クライアントが承認した代替的管理策が実施されている場合を除き、保存時に暗号化されるものとする。ノートパソコンには、クライアントが業務上の必要性があることに同意した場合を除き、個人データを保存してはならない。同意が得られた場合、ノートパソコン上の個人データは暗号化されるものとする。KLDiscoveryの情報セキュリティ部門は、業界標準への準拠及び相互運用性を確保するため、すべての暗号化デバイス、アルゴリズム、鍵長及び鍵管理システムを承認する。KLDiscoveryは、暗号鍵の不正使用または漏えいを防止するため、市販の暗号鍵管理システムを維持・運用するものとする。
|
Encryption and Public Key Infrastructure
All Personal Data will be encrypted when in storage, unless Client-approved compensating controls are implemented. Laptop computers will not store Personal Data unless Client agrees there is a business need for such storage. If agreement is reached, Personal Data on laptops will be encrypted. KLDiscovery’s Information Security Office will approve all cryptographic devices, algorithms, key lengths, and key management systems to ensure adherence to industry standards and interoperability. KLDiscovery will maintain commercially available encryption key management systems to protect encryption keys against unauthorised use or disclosure.
|
|
ネットワークセキュリティ
KLDiscoveryは、次のデータ通信に関するセキュリティサービスを提供するものとする。(a)あらゆる形式のデータネットワーク上で送信されるすべてのデータの機密性及び完全性を確保すること。(b)個人データと識別されたデータが公衆データネットワーク上で送信されるすべての場合において、業界標準に準拠した強力な暗号化技術を実装し、維持すること。暗号化には、256ビット鍵による暗号化を最低限の基準とする。KLDiscoveryが利用するインターネット接続は、業界標準の専用ファイアウォールにより保護され、これらは業界のベストプラクティスに準拠するよう構成及び管理されるものとする。内部またはプライベートのIPアドレスは公開されることも、インターネットに直接ルーティングされることもない。ファイアウォール及びサーバーへの管理アクセスは、すべて安全な内部ネットワーク経由でのみ行うものとする。
|
Network Security
KLDiscovery will provide the following data communication security services: (a) safeguard the confidentiality and integrity of all data being transmitted over any form of data network; and (b) implement and maintain strong industry standard encryption techniques for all cases in which data identified as Personal Data is transmitted over any public data network. A minimum of 256-bit key encryption is preferred. KLDiscovery’s Internet connections will be protected with dedicated, industry-recognised firewalls that are configured and managed to adhere to industry best practices. No internal or private Internet Protocol (IP) addresses will be publicly available or natively routed to the Internet. All administrative access to firewalls and servers will be through a secure internal network only.
|
|
識別、認証及び認可
すべてのリソースの利用者には、個別認証及び責任追跡を可能とするため、固有のユーザーIDが割り当てられるものとする。各リソースは、認可されたアクセスを許可する前に、利用者を認証するものとする。リソースへのアクセスに必要な認証レベルは、当該リソースに格納されているデータの機密性に比例するものとする。特権アカウントへのアクセスは、リソースを管理する者に限定され、個別責任は維持される。すべてのデフォルトパスワード(ハードウェアまたはソフトウェアベンダーから提供されるもの等)は、受領後直ちに変更するものとする。KLDiscoveryは次のアクセス制御サービス及び手順を適用し、遵守するものとする。(a) 電子的アクセスを、認可された従業員のみに制限する措置を実施すること。(b) リソースにアクセスまたは資料を送信するすべてのKLDiscovery従業員について、リソースによる一意の識別及び認証が確実に実施されること。(KLDiscoveryは、個人データへのアクセスにおいて、汎用または共有のユーザー識別子を一切使用しない)。(c) 「最小権限の原則」を徹底すること。すなわち、認可された従業員は、当該リソースに関連する職務を遂行するために必要な最小限のアクセス権限のみを付与され、かつ必要最小限の期間のみ保持すること。(d) バックアップ媒体、ハードコピー、その他あらゆる形式で保存されたすべての個人データへのアクセスを、クライアントへのサービス提供に必要な職務を遂行する従業員に限定し、当該データを物理的に安全な場所に保管すること。(e)従業員の退職若しくは異動時には、物理的及び論理的アクセス権を直ちに削除すること。KLDiscoveryのリソースは、個人データを他の顧客のデータから分離し、適切な管理の下で保存するものとする。
|
Identification, Authentication and Authorisation
Each user of any Resource will have a uniquely assigned user ID to enable individual authentication and accountability. Each Resource will authenticate the user prior to granting each authorised access. The level of authentication required for access to any Resource is proportionate to the sensitivity of the data housed on the Resource. Access to privileged accounts will be restricted to only those people who administer the Resource; individual accountability will be maintained. All default passwords (such as those from hardware or software vendors) will be changed immediately upon receipt. KLDiscovery will use and comply with the following access control services and procedures: (a) implement measures to restrict electronic access to Resources to only authorised personnel; (b) ensure that all KLDiscovery personnel who access or submit material to Resources are uniquely identified to and authenticated by the Resource (KLDiscovery will not use any form of generic or shared user identifier to access Personal Data); (c) enforce the principle of “least privilege,” namely, that authorised personnel have only the level of access to Resources required to perform their job functions in relation to the Resource and have such rights and privileges for the shortest length of time necessary; (d) restrict access to all Personal Data stored on backup media, in hardcopy form or in any other format to only those employees who require such access to accomplish their job functions in performance of services for Client and store such data in a physically secure location; and (e) remove physical and logical access rights immediately upon termination or transfer of the individual. KLDiscovery’s Resources will store Personal Data in a segregated and controlled manner from KLDiscovery’s other customers’ information.
|
|
ユーザーパスワード及びアカウント
ユーザーパスワードは、次の要件を満たすものとする。(a) 機密性を保持し、共有、提示、その他いかなる方法による漏えいを行わないこと。(b) 標準ユーザーアカウントの場合、英字及び数字を含む8文字以上で構成すること。(c) アカウント名、アカウントID、その他容易に推測可能な値を含まないこと。(d) 過去5回分のパスワードを再利用しないこと。(e) 保存及び送信時にはハッシュ化すること。ユーザーアカウントは、連続して5回誤った試行が行われた場合、自動的にロックアウトされるものとする。
|
User Passwords and Accounts
User passwords will: (a) remain confidential and will not be shared, posted, or otherwise divulged in any manner; (b) consist of a minimum of eight (8) alpha and numeric characters for standard user accounts; (c) not contain the account name or account ID or other easily guessed values; (d) not allow the previous five passwords to be reused; and (e) be hashed in storage and transmission. User accounts will automatically lockout after five (5) consecutive incorrect attempts.
|
|
第三者との関係
KLDiscoveryは、個人データへのアクセスを有する第三者サービスプロバイダーに対して、セキュリティリスク評価を実施するものとする。セキュリティリスク評価の目的は、個人データを保護するための安全管理措置が十分に講じられていることを確認することである。さらに、KLDiscoveryは、当該第三者サービスプロバイダーとの契約においてサービスプロバイダーが、個人データへの物理的または論理的アクセスを有するすべての者に対し、本セキュリティ要件文書に定めるものと同等の安全管理措置を維持することを確保するものとする。
|
Third-party Relationships
KLDiscovery will conduct security risk assessments of any third-party service providers with access to Personal Data. The purpose of the security risk assessments will be to ensure that safeguards are sufficient to protect the Personal Data. Furthermore, KLDiscovery’s contracts with such third-party service providers will ensure that the service providers maintain controls to ensure that any individual with physical or logical access to Personal Data have safeguards similar to those set forth in this Security Requirement Document to ensure the protection of the Personal Data.
|
|
リモートアクセス接続の認可
KLDiscoveryの内部ネットワーク及びコンピュータシステムへのすべてのリモートアクセス接続は認可を必要とし、多要素認証を用いて、KLDiscoveryのコンピューティングまたは通信リソースへの「アクセスポイント」において承認されたアクセス制御手段を提供するものとする。当該アクセスは、仮想プライベートネットワーク(VPN)等の安全なアクセスチャネルを使用するものとする。個人データへのアクセスを有するKLDiscoveryのネットワークは、無線アクセスを許可する他のネットワークセグメントから論理的に分離されるものとする。
|
Remote Access Connection Authorization
All remote access connections to KLDiscovery internal networks and/or computer systems will require authorization and will provide an approved means of access control at the “point of entry” to the KLDiscovery computing or communication resources through multi-factor authentication. Such access will use secure access channels, such as a Virtual Private Network (VPN). KLDiscovery networks that have access to the Personal Data will be logically isolated from any other network segments that allow wireless access.
|
|
安全なシステム開発
KLDiscoveryがクライアント向けに開発するアプリケーションは、次の事項を可能にする手法に従うものとする。(i) 要件定義の段階において、セキュリティ要件を明確化すること。(ii) セキュリティに関するベストプラクティスを組み込んだ設計モデルを使用すること。(iii) クロスサイトスクリプティング、SQLインジェクション、バッファオーバーフロー等のセキュリティ脆弱性を最小化する手法でコードを開発すること。 (iv) 静的及び動的評価によるコードのテストを実施すること。(v)アプリケーションを安全な実運用環境に導入すること。
|
Secure System Development
Applications developed by KLDiscovery for Client will follow a methodology that allows for: (i) defining security requirements as part of the requirements definition phase; (ii) using a design model that incorporates best practices in security; (iii) developing code in ways that minimise security vulnerabilities (such as cross-site scripting, SQL injection, buffer overflows, etc.); (iv) testing the code through static and dynamic assessments; and (v) deploying the application is a secure production environment.
|
|
人事セキュリティ
すべてのKLDiscovery従業員は、犯罪経歴調査及び一般的な身元調査を受け、問題がないことを確認されなければならない。ただし、個人の調査が法律により禁止されている場合、KLDiscoveryはこれを実施する義務を負わないものとする。
|
Personnel Security
All KLDiscovery personnel must pass a criminal background check and general background investigation. KLDiscovery shall not be required to screen any individual where it is prohibited by law.
|
|
教育及び意識向上
KLDiscoveryは、すべての従業員に対し、少なくとも年1回、研修及び意識向上セッションへの参加を義務付けるものとする。研修システムは、出席状況を記録し、教材の理解度を確認するためのテストを提供するものとする。
|
Training and Awareness
KLDiscovery shall require all KLDiscovery personnel to participate in training and awareness sessions at least annually. The training system will track attendance and provide testing to ensure the materials are understood.
|
|
事業継続及び災害復旧
KLDiscoveryは、クライアントのためにホストされるすべてのアプリケーションについて、正式に文書化され、承認され、かつテスト済みの災害復旧計画を有することを要するものとする。すべての事業継続計画は、経営管理層によって通知及び承認され、内部または第三者の監査機関による監査を少なくとも年1回実施する。さらにすべての事業継続計画は、毎年テストを実施し、その有効性及び適合性を検証するものとし、テストの総合結果及び得られた教訓を含むすべての側面を文書化するものとする。テスト結果は、経営幹部に報告されるものとする。
|
Continuity and Disaster Recovery
KLDiscovery requires that all applications hosted on behalf of clients to have a formal, documented, approved, and tested disaster recovery plan. All continuity plans must be communicated and approved by formal management and audited at least annually by an internal or third-party auditing body. All continuity plans are tested annually to verify their effectiveness and suitability with all aspects of the testing being documented including overall results and lessons learned. Results of tests are communicated to senior management.
|
.svg){kind=small}
