アクセス制御規程

注: ISO/IEC 27001:2022（JIS Q 27001:2023）附属書A のアクセス制御（A.5.15〜A.5.18 のアクセス制御・識別情報・認証情報・アクセス権、A.8.2〜A.8.5 の特権的アクセス・情報アクセス制限・認証等）に基づくひな形です。自社のシステム構成・認証基盤に合わせて調整してください。

第1章 総則

第1条 (目的)

本規程は、〔会社名〕（以下「当社」という。）の情報及び情報システムへのアクセスを適切に管理し、不正アクセス及び情報漏えいを防止することを目的とする。

第2条 (適用範囲)

本規程は、当社の情報資産及び情報システムを利用するすべての者に適用する。

第2章 アクセス制御の方針

第3条 (アクセス制御方針)

当社は、業務上の必要性（知る必要性及び最小権限の原則）に基づき、アクセス権を付与する。

第4条 (利用者の登録及び抹消)

当社は、利用者の登録、変更及び抹消の手続を定め、入社・異動・退職に応じて速やかにアクセス権を見直す。

第3章 アクセス権の管理

第5条 (特権的アクセス権の管理)

当社は、管理者権限等の特権的アクセス権を制限し、その付与状況を記録し、レビューする。

第6条 (認証及びパスワード管理)

当社は、利用者の本人認証を行い、パスワードその他の認証情報を適切に管理する。必要に応じて多要素認証を導入する。

第7条 (アクセス権の定期見直し)

当社は、利用者のアクセス権を定期的にレビューし、不要な権限を除去する。

第4章 システム及びネットワーク

第8条 (ネットワークアクセス制御)

当社は、ネットワーク及びネットワークサービスへのアクセスを制御する。

第9条 (ログの取得及び監視)

当社は、アクセスの記録（ログ）を取得し、必要に応じて監視し、点検する。

第5章 雑則

第10条 (改廃)

本規程の改廃は、関係規格及び運用の実態を踏まえて行う。

附則

本規程は、〔施行日〕から施行する。