アクセス制御及び認証　その２　～　セキュリティ関連規程の記載事項について　～

• 投稿日：2020-03-02　
• 最終更新日：2020-12-22　
• 表示：242PV　
• カテゴリ：セキュリティ関連規程

前回、「アクセス制御及び認証」その１で「アクセス制御方針<」「認証方法」のお話をしました。
引き続き、今回は「アクセス制御及び認証」その２をお話します。

情報セキュリティ関連規程

目次

「情報セキュリティ関連規程」には、次の項目があります。

1. 組織的対策
2. 人的対策
3. 情報資産管理
4. アクセス制御及び認証
5. 物理的対策
6. ＩＴ機器利用
7. ＩＴ基盤運用管理
8. システム開発及び保守
9. 委託管理
10. 情報セキュリティインシデント対応及び事業継続管理

アクセス制御及び認証

アクセス制御及び認証の内容

利用者によるアクセスの制御と認証について決めています。
具体的には次のとおりです。

• アクセス制御方針
• 認証方法
• 利用者アカウントの登録
• パスワードの設定
• 利用者アカウントの管理
• 従業員以外に関する利用者アカウントの発行
• 機器の識別による認証
• 端末のタイムアウト機能

パスワードの設定

ひとつ前の「利用者アカウントの登録」でIDを設定する条件を決めているので、対となるパスワードの設定条件を決めます。
例えば、「パスワードは●文字以上」というような規定です。
パスワードについては、カテゴリ【パスワード】で詳しくお話をしておりますのでご覧ください。

利用者アカウントの管理

ここでは、アカウントの管理方法について決めます。
具体的には次の２つです。

1. アカウントの保管
2. アカウントの削除・変更

アカウントの保管

保管については、システム内に限定して保管する場合は、決める必要はありません。
システムで決められているからです。
バックアップや一覧表を作成して保管する場合にどのように保管するかの方針を決めます。

アカウントの削除・変更

退職者や役職変更など、最初の「アクセス制御方針」で定めた「利用者の範囲」から外れた場合は削除・変更する旨を決めます。
合わせて、削除・変更する日も決めるようにします。

従業員以外に関する利用者アカウントの発行

「アクセス制御方針」で、従業員以外にも利用者アカウントを発行できるとした場合に定めます。
前回お話した「利用者アカウントの登録」や先の「パスワードの設定」が、従業員の場合と異なる場合は、その内容を決めます。
同じ場合は、同じと決めます。

注意

「発行できる」場合に定めますので、実際に発行していない場合でも、必要です。

機器の識別による認証

システムではIDやパスワードを用いて認証しますが、ルータなどの機器ではそのような認証は行いません。
このため、機器で認証を行う場合は、その内容を決めます。
すべての機器で行わない場合は、行う／行わない機器も決めます。

端末のタイムアウト機能

ひとつ前の機器と同じく、「タイムアウト機能が使えるのであれば利用する」という旨を決めます。
すべての機器で行わない場合は、行う／行わない機器も決めます。

次回は、「物理的対策」です。

タグ：アクセス制御及び認証, セキュリティ関連規程, パスワード, ルータ, 物理的対策

広告枠・・・広告やリンク先の保証はしません

参考記事（一部広告含む）

このページの記事についてちょっと質問！