こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

ISMS認証上の基準について(パスワード、自動運転関連)

ISMS認証の項目の中に、
1.パスワードの定期的な更新
2.自動運転
に関するものがありますが、認証を得るには以下の点でどの程度の基準があるのでしょうか?
Q1.定期的な更新とはどの程度のサイクルか?
Q2.自動運転とは、どの程度のことか?
  …夜間バックアップを自動で行っていれば自動運転とみなすのか?

御存知の方がいらっしゃいましたら、御教授の程宜しくお願いいたします。

投稿日時 - 2005-03-23 22:49:55

QNo.1287288

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(2)

ANo.2

ISMSの場合、「自分達で決め、それが正しく守られていることの確認手法が確立され、それを証明する書類が整備されている。更に書類の内容に矛盾がない」ことが求められます。
確認手法が確立できないものもありますが、その場合には、基準逸脱が発覚した際の罰則が定められ、同意されている等の代替手法でも構いません。極端なことを言うと審査員を納得させることができるかどうかです。例えば、パスワードの更新期間が3年以内なんて回答をすれば、例え確認手法が確立されていても、一般常識上、「指摘事項」となるでしょう。運がよくても「オブザベーション」です。

上記の点を勘案して頂いて、
>Q1.定期的な更新とはどの程度のサイクルか?

一般ユーザと特権ユーザとに分けて考えると良いでしょう。業務に支障が無い範囲で言えば、特権ユーザは1ヶ月、一般ユーザは3ヶ月以内です。更に関連した項目として、退職や異動などで職務を離れた人間にアカウント削除の棚卸周期も考慮すべきでしょう。特権ユーザで1週間以内、一般ユーザで1ヶ月以内であれば文句は出ないと思います。

>Q2.自動運転とは、どの程度のことか?
夜間バックアップも当然含みます。一般的解釈では、ルーチンワークのバッチ処理と理解されます。ただし、業務上、ルーチンワークが全く無いこともあります。その場合には「該当せず」で審査範囲から外して構いません。ただし、適用宣言書と矛盾があれば駄目です。

投稿日時 - 2005-11-22 22:42:48

ANo.1

こんにちは!
1.パスワードの定期的な更新
2.自動運転

Q1.定期的な更新とはどの程度のサイクルか?

A1.自社で決めた期間

Q2.自動運転とは、どの程度のことか?
  …夜間バックアップを自動で行っていれば自動運転とみなすのか?

A2.自動運転ってあります?
 利用者領域にある無人運転装置では?
 自動運転でなく、”利用者領域にある”無人運転
 装置なので、問題は自動運転かどうかでなく
 利用者領域にあるかどうかです。

 ちなみに、端末も離席時は該当しますよ。

困ったときは、JIS X 5080を参照しましょう。
ただし、これを全部受けれてしまうととんで
もないことになります。
あくまでも”指針”ですので、指針としてみてください。

基本的には
・かなり自由度がある。
大事なことは
・自分たちでどう決めていくかである

です。

投稿日時 - 2005-03-25 23:43:20

お礼

有難うございます。

JIS X 5080を参考にして、各小項目毎に自社での現状とJISが求めているものとのギャップ分析をしている所です。その中で、質問の項目の求めるレベルを知りたかったというのが、本質問の目的でした。
大変参考になりました。

※「大事なことは自分たちでどう決めていくかである」に関して、確かに、JISの求めるもの全てを実現するのは無理だなと感じていて、関係者はくじけそうな状態でした。勇気とやる気が沸いてきました。

投稿日時 - 2005-03-26 21:38:54

あなたにオススメの質問