• デジタル資産・遺品に関するお悩みはオフィス・マサミまで。

JIS Q 27001:2014の管理策について-12

今回は、「9.1 アクセス制御に対する業務上の要求事項」です。

【今回の要点】
・アクセス制御はフォルダへのアクセス権のような論理的な面だけでなく、部屋への入退室制限のような物理的な面も考慮
・ 玄関の鍵、部屋の鍵、机の鍵、PCのパスワード、フォルダのアクセス権のように建物の外側から順に考える
・自宅や個人事業主の場合、ネットワークの分離は費用対効果の面で難しいので、個人と業務で使用する部屋・機器を分離するなどの対策が必要

9 アクセス制御
9.1 アクセス制御に対する業務上の要求事項
目的:情報及び情報処理施設へのアクセスを制限するため。

情報や情報が保存されている機器・部屋へのアクセスを制限することが目的です。

9.1.1 アクセス制御方針は、業務及び情報セキュリティの要求事項に基づいて確立し、文書化し、レビューする。

業務・情報セキュリティの要求事項に基づいた情報へアクセスするための方針を定め、文書化する必要があります。
アクセス制御はフォルダへのアクセス権のような論理的な面だけでなく、部屋への入退室制限のような物理的な面も考慮します。
玄関の鍵、部屋の鍵、机の鍵、PCのパスワード、フォルダのアクセス権のように建物の外側から順に考えていきます。

9.1.2 利用することを特別に認可したネットワーク及びネットワークサービスへのアクセスだけを、利用者に提供する。

ネットワーク及びネットワークサービスの利用に関する方針を設定する必要があります。
自宅や個人事業主の場合、ネットワークの分離は費用対効果の面で難しいので、個人と業務で使用する部屋・機器を分離するなどの対策となります。

【今回のまとめ】
・アクセス制御はフォルダへのアクセス権のような論理的な面だけでなく、部屋への入退室制限のような物理的な面も考慮
・ 玄関の鍵、部屋の鍵、机の鍵、PCのパスワード、フォルダのアクセス権のように建物の外側から順に考える
・自宅や個人事業主の場合、ネットワークの分離は費用対効果の面で難しいので、個人と業務で使用する部屋・機器を分離するなどの対策が必要

次回は、「9.2 利用者アクセスの管理」の予定です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA