JIS Q 27001:2014の管理策について－13

今回は、「9.2　利用者アクセスの管理」から9.2.1、9.2.2です。

【今回の要点】
・共有ID（１つのIDを複数人で使用）の利用を必要最低限にする
・複数のIDを同じ利用者に発行しない
・必要のないIDを定期的に削除する
・アクセス権の割り当てには管理責任者からの認可を得る
・アクセスレベルを職務分離と整合させる
・役割・職務の変更時にアクセス権を見直す

9.2 利用者アクセスの管理
目的：システム及びサービスへの、認可された利用者のアクセスを確実にし、認可されていないアクセスを防止するため。

システムおよびサービスですので、例えばPCへのログインとメールへのログインと考えて下さい。認可された人以外がアクセスできないようにすることが目的です。

9.2.1 アクセス権の割当てを可能にするために、利用者の登録及び登録削除についての正式なプロセスを実施する。

利用者IDの登録・削除のための手順を定める必要があります。
共有ID（１つのIDを複数人で使用）の利用を必要最低限にする、複数のIDを同じ利用者に発行しない、必要のないIDを定期的に削除するなどの対策が考えられます。

9.2.2 全ての種類の利用者について、全てのシステム及びサービスへのアクセス権を割り当てる又は無効化するために、利用者アクセスの提供についての正式なプロセスを実施する。

全ての利用者について、利用者IDに対するアクセス権限の割り当てについての手順を定める必要があります。
アクセス権の割り当てには管理責任者からの認可を得る、アクセスレベルを職務分離と整合させる、役割・職務の変更時にアクセス権を見直すなどの対策が考えられます。

【今回のまとめ】
・共有ID（１つのIDを複数人で使用）の利用を必要最低限にする
・複数のIDを同じ利用者に発行しない
・必要のないIDを定期的に削除する
・アクセス権の割り当てには管理責任者からの認可を得る
・アクセスレベルを職務分離と整合させる
・役割・職務の変更時にアクセス権を見直す

次回は、「9.2　利用者アクセスの管理」から9.2.3、9.2.4の予定です。