ISO27001の附属書A 管理策とは #5

【管理の目的】
情報システムへのアクセスを許可された利用者へ限定するため。

【管理策の選択項目】
1　利用者登録
2　特権管理
3　利用者パスワードの管理
4　利用者アクセス権のレビュー

【管理策の説明】

情報システム、サービスへのアクセスをコントロールするため、情報システムへ利用ユーザーの登録、削除のための手順を確立して、特権管理ユーザーの割り当ても制限、管理する必要があります。

パスワード割り当ての手順を確立、管理して利用ユーザーのアクセス権限も定期的に見直す必要があります。

A.11.3　利用者の責任

【管理の目的】
不正なアクセス、情報処理設備の保護するため

【管理策の選択項目】
1　パスワードの利用
2　無人状態にある利用者装置
3　クリアデスク・クリアスクリーン方針

【管理策の説明】

情報システムへ利用ユーザーは定期的に変更することが望ましく、パスワードを変更する場合単純な数列や生年月日の使用しないことをユーザーに周知する必要があり、離席時のPCの保護（電源OFF、パスワードロック等）対策を実施する必要があります。
また帰宅時に書類を引き出しに仕舞って施錠（クリアデスク）、離席時のPCモニタのスクリーン・セーバー（クリアスクリーン）を実施する方針を周知する必要があります。

A.11.4　ネットワークのアクセス制御

【管理の目的】
ネットワークを利用したサービスの不正アクセスを防止するため。

【管理策の選択項目】
1　ネットワークサービスの利用についての方針
2　外部から接続する利用者の認証
3　ネットワークにおける装置の識別
4　遠隔診断及び環境設定用ポートの保護
5　ネットワークの領域分割
6　ネットワークの接続制御
7　ネットワークルーティング制御

【管理策の説明】

Webやデータベースへのアクセスなど、許可されたユーザーのみに利用をゆるし、外部よりアクセスするユーザーは適切な認証方法を使用する必要があります。
ネットワークに接続された装置（PC等)は固有のIPアドレスの割り当てや、 LANのカード固有のMACアドレス等で識別する必要があります。

サーバー等を外部よりリモートメンテナンスする場合には、アクセスが限定されている必要があります。
組織内のネットワークを外部と内部ネットワークの中間にDMZを設置する、グループ単位で物理的に分割する等の設計が必要になり、ネットワークのIPルーティング（経路）を制御する必要があります。
VPN等で企業グループ間で共通に利用しているネットワークにのアクセスを制御する必要があります。

A.11.5　オペレーティングシステムのアクセス制御

【管理の目的】
基本ソフトの不正アクセスを防止するため。

【管理策の選択項目】
1　セキュリティに配慮したログオン手順
2　利用者の識別及び認証
3　パスワード管理システム
4　システムのユーティリティの使用
5　セッションのタイムアウト
6　接続時間の制限

【管理策の説明】

一定回数ログオンに失敗するとパスワードが無効になる設定、ユーザー毎に一意のIDを発行し利用者の特定と認証を管理する必要があります。
パスワードの設定、変更ルールを管理する必要があります。
システム用のユーティリティの使用における管理をする必要があります。
ログオン後に一定時間操作が中断した場合は、セッションを切る必要があります。
業務によってはサービスを日中のみ提供する等の時間制限する必要があります。

A.11.6　業務用ソフトウエア及び情報のアクセス制御

【管理の目的】
業務用ソフトウエアが保存している情報に対する不正なアクセスを防止するため。

【管理策の選択項目】
1　情報へのアクセス制御
2　取扱いに慎重を要するシステムの隔離

【管理策の説明】

業務用ソフトウエアへのアクセスを制限する必要があり、取扱いに慎重を要する情報システムの操作は入退出管理された、マシン室等に限定する必要があります。

A.11.7　モバイルコンピューティング及びテレワーキング

【管理の目的】
モバイルコンピューティング及びテレワーキングの設備を使用する情報システムを管理するため。

【管理策の選択項目】
1　モバイルコンピューティング及び通信
2　テレワーキング

【管理策の説明】

組織の外部（移動中、出先）で情報端末（ノートPC、PODA、携帯）を利用して情報システムにアクセスする場合の管理策、テレワーキング（在宅勤務）のための管理策を策定する必要があります。

ISO27001の附属書Aとは #6