A.9 アクセス制御

物理的なアクセスと論理的なアクセスについて、対策を検討し、ルールを定めます。

ユーザーIDは利用者個々に割り当てなければなりません。退職や異動などでIDが無効になるときも確実に処理が行われるように手順を定めます。
サーバ管理者やネットワーク管理者など特権のある実務管理者は、必要最小限とし、不正が起きないよう特権の利用状況が管理できるようにログ監視などしなければなりません。
利用者の本人確認のため、パスワード、生体認証など、重要度に応じて行わなければなりません。また他者に教えてもいけません。パスワードの長さ、複雑さ、推測されにくいなどのルールを決めて管理しなければなりません。
特権的なユーティリティプログラムは、目的外利用されると事故につながるため、使用を制限し管理しなければなりません。
プログラムソースコードは専用の保管場所でバージョン管理を行わなければなりません。