JIS Q 27001:2014の管理策について-14

今回は、「9.2 利用者アクセスの管理」から9.2.3、9.2.4です。

【今回の要点】
・ 複数人でPCを共有するような場合は、管理者権限を与える人を限定する
(データーベースやアプリケーションを複数人で利用する場合なども同様)
・ PCやサービスへの初回アクセス時のパスワードの通知方法、初期パスワードの変更方法などの明確化
(パスワードロック時のパスワードリセット方法、パスワード変更方法なども同様 )

9.2.3 特権的アクセス権の割当て及び利用は、制限し、管理する。

管理者権限の割り当て・利用は必要最小限にし、管理する必要があります。
皆様自身のPCは管理者権限で使用しているはずですが、複数人でPCを共有するような場合は、管理者権限を与える人を限定するなどの対策が考えられます。
また、データーベースやアプリケーションを複数人で利用する場合なども同様です。

9.2.4 秘密認証情報の割当ては、正式な管理プロセスによって管理する。

パスワードの割り当ての手順を定める必要があります。
PCやサービスへの初回アクセス時のパスワードの通知方法、初期パスワードの変更方法などを明確にする対策が考えられます。
また、パスワードロック時のパスワードリセット方法、パスワード変更方法なども同様です。

【今回のまとめ】
・ 複数人でPCを共有するような場合は、管理者権限を与える人を限定する
(データーベースやアプリケーションを複数人で利用する場合なども同様)
・ PCやサービスへの初回アクセス時のパスワードの通知方法、初期パスワードの変更方法などの明確化
(パスワードロック時のパスワードリセット方法、パスワード変更方法なども同様 )

次回は、「9.2 利用者アクセスの管理」から9.2.5、9.2.6の予定です。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA