アクセス制御(A11)
教育資料08のアクセス制御(A11)です。
←通信及び運用管理(A10)|ISMS教育資料|情報セキュリティインシデントの管理(A13)→
利用者の責任[A11.3]
【目的】
認可されていない利用者のアクセス、並びに情報及び情報処理設備の損傷又は盗難を防止するため。
パスワードの利用[A11.3.1]
【管理策】
パスワードの選択及び利用時に、正しいセキュリティ慣行に従うことを、利用者に要求しなければならない。
【解説】
情報の安全を確保するためには、システムによるアクセス制御(パスワード等)だけでなく利用者の情報セキュリティ意識の維持・向上が不可欠である。
パスワードを管理する際に注意すべき事項には下記がある。
○パスワードの選択
・8文字以上
・本人が覚えやすい
・連続した同一文字でない
・数値だけ、あるいはアルファベットだけでない
・本人の情報(氏名・電話番号・生年月日など)から容易に推測できない
○パスワードの使用
・他人には秘密にしておく
・紙に書かない
・定期的に変更する
・他人と共有しない
・自動入力機能などに記憶させない
当社では「アクセス制御管理規定」で定めている。
- ・サーバー、PCへのログオンにはパスワードが必要である。
- ・パスワードの決め方、定期的な変更などを定めている。
無人状態にある利用者装置[A11.3.2]
【管理策】
利用者は、無人状態にある装置が適切な保護対策を備えていることを確実にしなければならない。
【解説】
利用者にはパソコンなど端末の取扱いについても管理責任がある。スクリーンセーバーのパスワード設定、離席時の端末ログオフなどを行い、IDやパスなどをメモに書いて貼っておかないように注意する。
当社では「アクセス制御管理規定」で定めている。
- ・サーバーについてはパスワードロックをかけるとともに、部屋自体を施錠管理している。(サーバー室・総務室)
- ・スクリーンセーバーパスワード設定、離席時のログオフを義務づけている。
クリアデスク・クリアスクリーン方針[A11.3.3]
【管理策】
書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用しなければならない。
【解説】
クリアデスクとは離席時や帰宅時に、重要な書類や記憶媒体などを机の周囲に放置しないということ。
クリアスクリーンとは離席時などにパソコンの画面に表示した重要な情報を本人以外の者に見られないようにしておくこと。
当社では「施設/設備管理規定」で定めている。
・パスワードやスクリーンセーバーの利用による管理を行っている。