こんにちは、saeです。
今回は、情報セキュリティ対策基準の5章の管理基準について解説します。
管理基準については、情報セキュリティの具体的な管理基準を記載していきます。
5 管理基準
5.1 制限区域(セキュリティエリア)の定義と入退管理では、各エリアの守るべき情報資産に応じてランクづけを行い、そのランク毎にセキュリティ対策を行います。この定義は実務と密接に関連するので、実状に合っていないと業務効率が著しく低下、もしくは情報資産を適切に保護することができません。場合によっては取り扱う情報資産の保管場所等の見直しが必要です。
5.1 制限区域(セキュリティエリア)の定義と入退管理
重要な情報資産を保護するため、データセンター内オフィス、機器室への入退管理を行う。具体的には、必要に応じて以下の対策を行う。
・用途や設置設備・機器の違いにより制限区域の設定。それぞれ区域に必要なセキュティ(管理)レベルの定義と実施。
・入退管理の実施、および実際の入退についての記録(ログ採取・保管)。
5.2 オフィスでのセキュリティ管理 では、オフィスの入退出管理やドキュメントの取り扱い等について記載します。
5.2 オフィスでのセキュリティ管理
オフィス内において、重要な情報に対する関係者以外の利用・閲覧、破壊・盗難を防止するため、必要なセキュリティ対策を行う。具体的には、必要に応じて以下の対策を行う。
・オフィスへの入室制限(入退管理)
・可搬性機器・記憶媒体の持ち込み・持ち出し管理(制限)、盗難対策・施錠
・重要文書、データの施錠管理、閲覧制限、廃棄管理
・重要文書、データの印刷出力、可搬性メディアへの記録の制限
・業務上取り扱う情報・データに対する、個人レベルでの管理徹底
5.3 情報システムアクセス権管理 では、サーバ等への基本的なアクセス権について記載します。
5.3 情報システムアクセス権管理
情報システムへのアクセス権限の管理を行うとともに、許可されていない者のアクセスを防ぐために必要な対策を行う。具体的には、必要に応じて以下の対策を行う。
・個人に対するIDの付与と、業務に必要な最低限のアクセス権限の設定、管理
・パスワード管理(複雑性の確保と、定期変更、誤入力による権限停止)
・システム毎の管理者ID・パスワードの設定(同一のID・パスワードを利用しない)
・アクセス権限とID付与者の定期見直し
