JIS Q 27001:2014の管理策について-16
今回は、「9.3 利用者の責任」です。
9.3 利用者の責任
目的:利用者に対して、自らの秘密認証情報を保護する責任をもたせるため。
利用者にパスワードの保護に関する責任を持たせることが目的です。
9.3.1 秘密認証情報の利用時に、組織の慣行に従うことを、利用者に要求する。
全ての利用者に対して、組織で決められたルールに従うことを要求する必要があります。
ルールには、以下のものが考えられます。
- パスワードの保管方法(第三者がアクセスできない場所)
- パスワードの変更のタイミング(周期、随時)
- パスワードの選定方法(文字数、文字の種類)
- パスワードの共有の禁止(第三者へ教えない)
個人においても、現在では様々なオンラインサービスの利用により、IDとパスワードの管理が大変になっています。
以前は、紙に書くことを禁じることが主流のときがあったようですが、人間の記憶には限界がありますので、紙や電子媒体で管理されている方が多いと考えます。
現在では、IDやパスワードを記録している紙や電子媒体を第三者にアクセスせせない、又はアクセスしても理解できないような工夫が必要です。
私は、メモ帳に書いて鍵のかかる机の引き出しに保管しています。
次回は、「9.4 システム及びアプリケーションのアクセス制御」です。
