ISO 27001は、間違いなく情報セキュリティの世界的な「ゴールドスタンダード」です。International Organization for Standardsの標準ファミリの最初のものであり、その関連性は業界にまたがっており、コンプライアンスの認証は、セキュリティを真剣に受け止めていることを顧客に示す強力な指標です。
トップダウンのリスクベースのアプローチを採用しているISO27001(およびセキュリティ制御の詳細を説明するISO 27002)は、テクノロジーに中立になるように設計されています。ただし、情報の整理から人的資源の管理に関連する、セキュリティへの強力なアプローチに必要な要素を詳細に定義しています。
情報の管理と編成、制限とアクセス制御、監視と責任範囲はすべてISO 27001/2の要素であり、IS DecisionsのソフトウェアUserLockとFileAuditを使用すると、多くの要件に対応できます。
ISO27001に準拠する
これは、UserLockとFileAuditがネットワーク(およびその中の機密情報)を不要なアクセスから保護する方法の役立つチェックリストであり、ISO27001に準拠するための方法です。
セクションA9:アクセス制御
ユーザーには、使用が特に許可されているネットワークおよびネットワークサービスへのアクセスのみを提供する必要があります。アクセスは、安全なログイン手順によって制御し、アクセス制御ポリシーに従って制限する必要があります。
ISO 27001/2規格
IS DECISIONS ソリューション
機能
安全なユーザーアクセスのために多要素認証(MFA)を採用していますか?
アクセス制御をより堅牢にし、ユーザーのIDを確認するための有効性を高めます。
すべてのユーザーに一意のログイン資格情報を付与しますか?
一意に識別可能な資格情報がないと、誰もシステムにログインできないようにします。
パスワードの安全な使用を強制し、その人が主張されている人であることを確認しますか?
コンテキストを意識したアクセス制限とユーザーリマインダーを使用して、一意のネットワークログイン資格情報を強化します。これにより、ネットワークへのアクセスを求めている人とその中の情報が、本人であることが確認できます。
ユーザーによるログインの共有を制限していますか?
同じユーザー資格情報のセットでの同時ログインを防止し、危険なパスワード共有慣行を根絶するのに役立ちます。
職務ごとにネットワークアクセスを制限していますか?
管理者がさまざまなタイプの従業員にきめ細かいアクセス権を設定して、仕事をするために必要な情報にのみアクセスできるようにします。
組織内で役割を変更する従業員のネットワークアクセスを確認していますか?
管理者は、個々のユーザー、ユーザーのグループ、または組織単位のアクセス権を(永続的または一時的に)簡単に変更できます。
ワークステーションは、非アクティブな期間が経過した後、ユーザーをネットワークから自動的にログオフしますか?
許可されていないユーザーが無人のワークステーションから情報にアクセスするのを防ぐために、特定のアイドル時間の後にセッションを自動的にログオフします。さらに、UserLockは、特定のユーザーのアクセスに許可された時間枠を設定し、ワークステーションにこれらの時間外にログオフさせることができます。
セクションA12:運用セキュリティ
ユーザーアクティビティ、例外、障害、および情報セキュリティイベントを記録するイベントログを作成、保持し、定期的に確認する必要があります。
ISO 27001/2規格
IS DECISIONS ソリューション
機能
ネットワーク上のセッション期間とアクションを個々のユーザーに関連付けることができますか?
管理者がいつでもすべてのユーザーのIDを確認できるようにし、悪意のあるものやその他のアクティビティについてユーザーに説明責任を負わせます。
ネットワークへのアクセスを監視していますか?
すべてのログインおよびログオフアクティビティをリアルタイムで監視して、重要なデータにアクセスできるのは必要な人だけであることを確認します。UserLockは、時間、場所、デバイスに基づいて、疑わしい、破壊的な、または異常なログインを管理者に警告します。
コピー、移動、削除など、ファイルまたはフォルダーに対する特定のアクションを監視していますか?
ネットワーク上のすべてのファイルとフォルダーをリアルタイムで監視し、変更を行うときにユーザーが実行するすべてのアクションを記録します。ユーザーが不正な方法で情報を変更または破壊していないことを確認します。
定期的にセキュリティ監査や報告を行っていますか?
中央システムから、すべてのセッションタイプにわたって、すべてのネットワークログインイベントを記録、監査、およびアーカイブします。
ファイルとフォルダへのすべてのアクセスと変更を監査し、疑わしい動作を管理者に即座に警告します。