控制措施
各參與單位應該要按照聯合決策組織的要求,進行自我審查或是內部稽核,以確保符合本文件所列安全需求之要求。稽核之結果應送交聯合決策組織,以便判斷是否需要進行更進一步的了解或糾正。
應確保執行內稽或自我檢查的人員具有足夠的能力進行相關工作。而稽核或自我檢查的工作應該要有具體的計劃,並儘量減少對於業務的影響。
適用範圍:
- 私有鏈核心元件區域 (Zone 1)
- 私有鏈讀取元件區域 (Zone 2)
- 應用服務區域 (Zone 3)
- 應用服務的開發與維護單位
- 聯合決策組織
相關標準之控制措施:
| 標準 | 相關控制措施 |
|---|---|
| PCI-DSS 3.2.1 | 9.1、9.2 |
| ISO/IEC 27002:2013 | 12.7.1、15.2.1、18.2.1、18.2.2、18.2.3 |