2019-07-26 / 最終更新日時 : 2019-07-26 officemasami 情報セキュリティ関連

JIS Q 27001:2014の管理策について-15

今回は、「9.2 利用者アクセスの管理」から9.2.5、9.2.6です。

【今回の要点】
・ 利用者のアクセス権は定められた間隔で見直し、何らかの変更があったときの見直もする
・特権アカウントについては、頻繁に見直しをする
・ 雇用が終了した利用者アカウントは削除し、共通アカウントはパスワードを変更する
・契約変更時には新たな利用者アカウントを付与し、変更前後のアクセスを区別する

9.2.5 資産の管理責任者は、利用者のアクセス権を定められた間隔でレビューする。

利用者のアクセス権は、定期的および随時見直す必要があります。
定められた間隔での見直し、何らかの変更があったときの見直す対策が考えられます。
特に特権アカウントについては、頻繁に見直しをする必要があります。

9.2.6 全ての従業員及び外部の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了時に削除し、また、変更に合わせて修正する。

アクセス権は雇用の終了時に削除し、契約変更時には修正する必要があります。
雇用が終了した利用者アカウントは削除し、共通アカウントはパスワードを変更する対策が考えられます。
また、契約変更時には新たな利用者アカウントを付与し、変更前後のアクセスを区別する対策が考えられます。

【今回のまとめ】
・ 利用者のアクセス権は定められた間隔で見直し、何らかの変更があったときの見直しもする
・特権アカウントについては、頻繁に見直しをする
・ 雇用が終了した利用者アカウントは削除し、共通アカウントはパスワードを変更する
・契約変更時には新たな利用者アカウントを付与し、変更前後のアクセスを区別する

次回は、「9.3利用者の責任」の予定です。

カテゴリー
情報セキュリティ関連

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


情報セキュリティ関連

前の記事

Mirai ボットの特徴を有するアクセスの増加について
2019-07-23
行政書士関連

次の記事

令和元年度行政書士試験について
2019-07-30