|
例1:アクセス制御
情報へのアクセス制御
【要求事項】
利用者及び支援要員による情報及び業務用ソフトウェアシステム機能へのアクセスは、既定のアクセス制御方針に従って、制限すること。
【実施管理策】
- カスタマーサービスパスワード:カスタマーサービスに於ける、顧客からの電話問い合わせの際、本人認証に使用するシステムのログインパスワードはディスプレイ上に表示してはならない。
- 秘密のID,パスワード:アプリケーション開発者は、特権を持つ秘密のID,パスワードをプログラムに仕組んではならない。そしてその事実を一般に使用されるシステムドキュメントに公表してはならない。
- コンピュータ上の情報のアクセス制御:コンピュータ上の、重要、クリティカル、ぜい弱な情報は、アクセス制御により不正開示、改ざん、削除、破損が無い様にしなければならない。
- アダルトサイトアクセス:ウエブ上のアダルトサイトのアクセス制限を、情報システム部門は実施しなければならない。
- 共有環境の分離の確立:経営陣は共有コンピュータ上の各ユーザのアクセスを確実に分離し、お互いが干渉しない様にしなければならない。
- ユーザアクセスの保護:ユーザは他人のファイル等を、オーナーの許可を得る事無く、読んだり、変更したり、削除したり、コピーしてはならない。
- デフォルトユーザ権限:経営陣の書面による承認が無い限り、システム管理者は電子メール、ワープロ等如何なる権限も与えてはならない。
- ユーザの得られる権限:エンドユーザのアカウント権限は、業務執行する為のシステムの能力とコマンドの権限のみとする。
- 業務情報のアクセス権限:当社の業務情報を変更できるシステム権限は、業務アプリケーションのみに制限する。
- データベースの更新:データベースの更新は、経営陣の承認により、確立された手順により行われる。
- 共有業務システム:共有教務システムは情報セキュリティ部門により承認された、アクセス制御機能を持たなければならない。
- システムログ及び監査証跡の開示:システムログ及びアプリケーション監査証跡は、組織内部のそれらを調査する等の任務を持った者以外に開示してはならない。
- 開発者による業務情報アクセス:業務アプリケーションの開発エンジニアは、自身が携わる業務以外の業務情報にアクセスしてはならない。
- 第三者の機密情報の取り扱い:たとえ契約に謳われていなくても、第三者の機密情報及び著作権情報は、当社のそれと同様に扱われなければならない。
- 顧客の個人情報へのアクセス:当社の顧客のクレジットカード番号、与信情報等個人情報は、従業員のみが業務遂行の為のみにアクセスできる。
- データウェアハウスのアクセス:当社のデータウェアハウスへのアクセスは、当社の経営陣の承認を要する。
- 機密情報の2次開示の禁止:機密情報の開示の許可を得たものは、その情報を他人に漏らしてはならない。
- 重要情報のアクセス手順:当社の重要、ぜい弱な情報にアクセスする場合は、直属の上司の承認を得た後でなければならない。
- 機密情報のアクセス手順:当社の機密情報へのアクセスの許可は、特定の個人に与えられ、個人の属するグループに与えてはならない。<
|