アクセス制御方針
関連: A.5.15 アクセス制御
1. 目的
本方針は、{{組織名}}の情報資産に対するアクセスを適切に管理し、不正アクセスを防止することを目的とする。
2. 適用範囲
本方針は、当組織の全ての情報システム及び情報資産に対するアクセス制御に適用する。
3. 基本原則
3.1 最小権限の原則
利用者には、業務遂行に必要な最小限のアクセス権のみを付与する。
3.2 職務分離
重要な業務については、適切な職務分離を行い、単独での不正を防止する。
3.3 Need-to-Know
情報へのアクセスは、業務上知る必要がある者に限定する。
4. アクセス制御要件
4.1 利用者登録
- 全ての利用者は、一意の識別子(ID)を持つこと
- 共有 ID の使用は原則禁止
4.2 認証
- パスワードは8文字以上、複雑性要件を満たすこと
- 多要素認証を推奨
- 一定回数のログイン失敗でアカウントロック
4.3 アクセス権の管理
- アクセス権は、システム管理者が付与・変更・削除
- 定期的なアクセス権レビュー(年1回以上)
- 退職・異動時の速やかなアクセス権削除
4.4 特権アクセス
- 特権アカウントの利用は必要最小限に制限
- 特権アクセスの操作ログを取得・保管
5. 関連文書
改訂履歴
| 版 | 日付 | 変更内容 | 承認者 |
|---|---|---|---|
| 1.0 | {{発効日}} | 初版作成 | {{承認者}} |