8.9構成管理
管理策:
ハードウェア、ソフトウェア、サービス及びネットワークのセキュリティ構成を含む構成を
確立し、文書化し、実装し、監視及びレビューしなければならない。
解説:
ハードウェア、ソフトウェア、サービス及びネットワークが、必要とされるセキュリティ設定
で正しく機能し、認可されていない変更又は誤った変更によって構成が変えられないことを確実にするための管理策である。
対応方法:
①情報システム内のすべての構成要素を明確に識別し、それらの関係を把握する。
②構成要素のバージョンを適切に管理し、変更履歴を追跡できるようにする。
③定期的に構成の監査を行い、適切なセキュリティ対策が維持されていることを確認する。
④構成管理に関するポリシーや手順を策定し、従業員に適切な教育・トレーニングを提供
する。
※メルマガで配信したコラムを修正・加筆したものです