• デジタル資産・遺品に関するお悩みはオフィス・マサミまで。

JIS Q 27001:2014の管理策について-16

今回は、「9.3 利用者の責任」です。

9.3 利用者の責任
目的:利用者に対して、自らの秘密認証情報を保護する責任をもたせるため。

利用者にパスワードの保護に関する責任を持たせることが目的です。

9.3.1 秘密認証情報の利用時に、組織の慣行に従うことを、利用者に要求する。

全ての利用者に対して、組織で決められたルールに従うことを要求する必要があります。
ルールには、以下のものが考えられます。

  • パスワードの保管方法(第三者がアクセスできない場所)
  • パスワードの変更のタイミング(周期、随時)
  • パスワードの選定方法(文字数、文字の種類)
  • パスワードの共有の禁止(第三者へ教えない)

個人においても、現在では様々なオンラインサービスの利用により、IDとパスワードの管理が大変になっています。
以前は、紙に書くことを禁じることが主流のときがあったようですが、人間の記憶には限界がありますので、紙や電子媒体で管理されている方が多いと考えます。
現在では、IDやパスワードを記録している紙や電子媒体を第三者にアクセスせせない、又はアクセスしても理解できないような工夫が必要です。

私は、メモ帳に書いて鍵のかかる机の引き出しに保管しています。

次回は、「9.4 システム及びアプリケーションのアクセス制御」です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA