JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)でいう特権的アクセス権の管理について, 情報システムの管理特権を利用した行為はどれか。
ア 許可を受けた営業担当者が, 社外から社内の営業システムにアクセスし,業務を行う。
イ 経営者が、機密性の高い経営情報にアクセスし,経営の意思決定に生かす。
ウ システム管理者が、業務システムのプログラムにアクセスし,バージョンアップを行う。
エ 来訪者が, デモンストレーション用のシステムにアクセスし, システム機能の確認を行う。
解説を読む
正解:ウ
解説:
アクセス権を適切に設定することにより情報漏洩等のリスクを軽減することが可能にになります。単にアクセスが可能かどうかだけでなく、変更や削除といったアクセス権を適切に管理する必要があります。中でもフルアクセスが可能なアクセス権を特権と呼びます。
ア.通常業務のためのアクセス権ですので特権ではありません。
イ.経営情報の特権を得ていると思われますが、情報システムの管理特権利用ではありません。
ウ.バージョンアップを行うためにはプログラムの変更、もしくは旧プログラムの削除などの行為が含まれるため情報システムの管理特権が必要になります。
エ.システムの確認を行うだけなので特権は必要ありません。
解説を閉じる
コメント