JIS Q 27001:2014の管理策について-17
今回は、「9.4 システム及びアプリケーションのアクセス制御」から、9.4.1、9.4.2です。
9.4 システム及びアプリケーションのアクセス制御
目的:システム及びアプリケーションへの、認可されていないアクセスを防止するため。
システム・アプリケーションへの不正アクセスを防止することが目的です。
9.4.1 情報及びアプリケーションシステム機能へのアクセスは、アクセス制御方針に従って、制限する。
情報・システム・アプリケーションへアクセスするためのルールを定める必要があります。
ルールにより、次のような対策が考えられます。
- システム・アプリケーションへのアクセス権の制御(物理的、論理的)
- 利用者の情報へのアクセス権(読み出し、書き込み、削除、実行)の制御
- 他のシステム・アプリケーションからのアクセス権の制御
9.4.2 アクセス制御方針で求められている場合には、システム及びアプリケーションへのアクセスは、セキュリティに配慮したログオン手順によって制御する。
重要なシステム・アプリケーションへのアクセスはセキュリティに配慮したログオン手順を定める必要があります。
ルール・機能により、次のような対策が考えられます。
- 特に重要な情報・システムにアクセスするためのパスワードに代わる認証方法(スマートカード、トークン、生体認証など)
- システムの情報開示の制限
- アクセスログの取得・分析・アラート
- 接続時間の制限
- 前回ログオン日時のメッセージ表示
- ネットワークを介したアクセスの対策・制限
小規模な事業所の場合は、利用者毎のPCにインストールするアプリケーションを制限したり、PCを共有する場合のアプリケーションの利用を制限する等の対策が考えられます。
また、データーへのアクセスは、ファイル・フォルダのアクセス権限を最小限にする、または外部記憶装置を利用する等の対策が考えられます。
次回は、 「9.4 システム及びアプリケーションのアクセス制御」から、 9.4.3、9.4.4の予定です。
