JIS Q 27001:2014の管理策について-15
今回は、「9.2 利用者アクセスの管理」から9.2.5、9.2.6です。
【今回の要点】
・ 利用者のアクセス権は定められた間隔で見直し、何らかの変更があったときの見直もする
・特権アカウントについては、頻繁に見直しをする
・ 雇用が終了した利用者アカウントは削除し、共通アカウントはパスワードを変更する
・契約変更時には新たな利用者アカウントを付与し、変更前後のアクセスを区別する
9.2.5 資産の管理責任者は、利用者のアクセス権を定められた間隔でレビューする。
利用者のアクセス権は、定期的および随時見直す必要があります。
定められた間隔での見直し、何らかの変更があったときの見直す対策が考えられます。
特に特権アカウントについては、頻繁に見直しをする必要があります。
9.2.6 全ての従業員及び外部の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了時に削除し、また、変更に合わせて修正する。
アクセス権は雇用の終了時に削除し、契約変更時には修正する必要があります。
雇用が終了した利用者アカウントは削除し、共通アカウントはパスワードを変更する対策が考えられます。
また、契約変更時には新たな利用者アカウントを付与し、変更前後のアクセスを区別する対策が考えられます。
【今回のまとめ】
・ 利用者のアクセス権は定められた間隔で見直し、何らかの変更があったときの見直しもする
・特権アカウントについては、頻繁に見直しをする
・ 雇用が終了した利用者アカウントは削除し、共通アカウントはパスワードを変更する
・契約変更時には新たな利用者アカウントを付与し、変更前後のアクセスを区別する
次回は、「9.3利用者の責任」の予定です。