タテックス有限会社によるISO9001,140001,27001の規格等のコンサルティングサービス、第三者審査に関連した情報の発信をしています。

ISO27001 > ISO27001:2013 > 4. 組織の状況 > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > 付属書A.管理目的及び管理策 > A.5 情報セキュリティのための方針群 > A.6 情報セキュリティのための組織 > A.7 人的資源のセキュリティ > A.8 資産の管理 > A.9 アクセス制御 > A.10 暗号 > A.11 物理的及び環境的セキュリティ > A.12 運用のセキュリティ > A.13 通信のセキュリティ > A.14 システムの取得、開発及び保守 > A.15 供給者関係 > A.16 情報セキュリティインシデント管理 > A.17 事業継続マネジメントにおける情報セキュリティの側面 > A.18 順守 > 情報セキュリティ用語 

A.9 アクセス制御

  • A.9.1 アクセス制御に対する業務上の要求事項
    • A.9.1.1 アクセス制御方針
    • A.9.1.2 ネットワーク及びネットワークサービスへのアクセス
  • A.9.2 利用者アクセスの管理
    • A.9.2.1 利用者登録と登録削除
    • A.9.2.2 利用者アクセスの提供 (provisioning)
    • A.9.2.3 特権的アクセス権の管理
    • A.9.2.4 利用者の秘密認証情報の管理
    • A.9.2.5 利用者アクセス権のレビュー
    • A.9.2.6 アクセス権の削除又は修正
  • A.9.3 利用者の責任
    • A.9.3.1 秘密認証情報の利用
  • A.9.4 システム及びアプリケーションのアクセス制御
    • A.9.4.1 情報へのアクセス制限
    • A.9.4.2 セキュリティに配慮したログオン手順
    • A.9.4.3 パスワード管理システム
    • A.9.4.4 特権的なユーティリティプログラムの使用
    • A.9.4.5 プログラムソースコードへのアクセス制御

9. Information Access Management
  • 9.1 Respect business requirements
    • 9.1.1 Develop a policy to control access to information
    • 9.1.2 Control access to networks and network services
  • 9.2 Manage all user access rights
    • 9.2.1 Develop a user registration process
    • 9.2.2 Set up a user access provisioning process
    • 9.2.3 Restrict the use of privileged access rights
    • 9.2.4 Control secret authentication information
    • 9.2.5 Review access rights at regular intervals
    • 9.2.6 Remove or adjust user access rights
  • 9.3 Protect user authentication
    • 9.3.1 Protect secret authentication information
  • 9.4 Control access to systems
    • 9.4.1 Restrict access to information and applications
    • 9.4.2 Use secure log-on procedures to control access
    • 9.4.3 Use formal password management systems
    • 9.4.4 Control the use of utility programs
    • 9.4.5 Control access to source code

解説

  • アクセス制御に対する業務上の要求事項は、情報へのアクセスを制御するため行なう。~
  • プロビジョニング( provisioning )とは
ユーザの需要を予想し、設備やサービスなどのリソースを計画的に調達し、ユーザの必要に応じたサービスを提供できるように備える行為の総称。
複数のサーバやネットワーク、アプリケーション、ストレージなどのリソースを仮想化によって一つのコンピュータリソースとみなし、ユーザから要求があった場合や障害時などに、必要な分だけ、コンピュータリソースを動的に別のシステムに割り当てられるようにすること。
もともとは通信事業者が使っていた用語で、ユーザの申し込み後すぐにサービスを提供できるよう、回線設備などを事前に準備することを意味している。プロビジョニングが必要とされてきた理由としては、インフラ拡張が足かせとなって新規アプリケーションの展開が遅れることで、日々強まるITに対応できなくなることや、インフラ管理に要するコストをできるだけ下げたいという要求などが挙げられる。

情報セキュリティマネジメントシステム コンサルティング


2013年版での新規認証取得支援のコンサルティング、システム運用保守支援、改善支援、内部監査代行サービスなどを行っております。

御見積りは信頼と実績のタテックスまでお問合せください。


   お問合せは、ここをクリック→お問合せ

~
~
~
~

コメントをかく


ユーザーIDでかく場合はこちら

画像に記載されている文字を下のフォームに入力してください。

「http://」を含む投稿は禁止されています。

利用規約をご確認のうえご記入下さい

管理人のみ編集できます