ISO27001標準附錄“A.11訪問控制”解析

2019/3/8 15:22:00 次

　　ISO27001標準附錄 A.11.1　訪問控制的業(yè)務要求

　　ISO27001標準附錄 A.11.1.1　訪問控制策略

　　【內容解析】

　　管理層應制定并發(fā)布一份訪問控制策略文件，訪問控制策略應滿足組織對業(yè)務運行、法律法規(guī)、合同和其他特殊情況下的要求。

　　訪問控制是信息安全的關鍵概念，組織應十分關注訪問控制的運行，并將當前實施狀況與標準本條款的要求進行比較以改進訪問安全。

　　ISO27001標準附錄 A.11.2　用戶訪問管理

　　【內容解析】

　　組織信息處理設施的用戶應按照訪問控制策略并結合相應的方法加以鑒別和授權。

　　ISO27001標準附錄 A.11.2.1　用戶注冊

　　【內容解析】

　　管理層應依據訪問控制策略對需要訪問信息處理系統(tǒng)和應用的用戶實施注冊和注銷賬戶的規(guī)程。

　　ISO27001標準附錄 A.11.2.2　特殊權限管理

　　【內容解析】

　　特殊權限在信息安全中十分重要，因為特權是基于信任，通常只授予管理層和特定人員。特殊權限會給組織的資產帶來安全風險，應按照規(guī)定策略和指南嚴格控制其分配和使用。

　　在企業(yè)內控方面可以借鑒最小特權原則，即將訪問權限制在履行其職責所需的最低限度。

　　ISO27001標準附錄 A.11.2.3　用戶口令管理

　　【內容解析】

　　口令是用來鑒別用戶身份的一組秘密字符串，用來控制對數據、系統(tǒng)和網絡的訪問。口令管理是一個過程，包含對口令策略(規(guī)則)和管理規(guī)程的定義、實施和維護。有效的口令管理可降低對信息處理設施和信息的損害風險，保護口令的保密性、完整性和可用性。

　　ISO27001標準附錄 A.11.2.4　用戶訪問權的復查

　　【內容解析】

　　對訪問權應由不負責建立賬戶的有資質的人員進行定期的復查，以確?，F有的訪問權符合其角色和職責。

　　ISO27001標準附錄 A.11.3　用戶職責

　　ISO27001標準附錄 A.11.3.1　口令使用

　　【內容解析】

　　組織應基于良好的口令實踐建立口令結構，用戶要遵守組織的要求，并建立良好的口令使用習慣。

　　ISO27001標準附錄 A.11.3.2　無人值守的用戶設備

　　【內容解析】

　　當信息處理設施和應用系統(tǒng)處于無人值守時，管理層應有必要的措施確保無人值守的設備得到適當的保護。如當非工作時間，由值班人員對工作場所和設施進行定期巡查等。

　　ISO27001標準附錄 A.11.3.3　清空桌面和屏幕策略

　　【內容解析】

　　當員工一段時間(如開會)不在工作區(qū)時，他們的工作區(qū)域應確保安全，任何形式的敏感信息未被非授權訪問。對此組織應規(guī)定相應的策略或制度。

　　ISO27001標準附錄 A.11.4　網絡訪問控制

　　ISO27001標準附錄 A.11.4.1　使用網絡服務的策略

　　【內容解析】

　　網絡連接，特別是因特網和無線網連接，需要在信息處理環(huán)境中識別風險。管理層對使用網絡服務以及日常監(jiān)視網絡環(huán)境應規(guī)定有明確的策略，以確保用戶僅能訪問得到授權的服務。

　　ISO27001標準附錄 A.11.4.2　外部連接的用戶鑒別

　　【內容解析】

　　應采用安全的鑒別方式來控制遠程用戶對信息處理設施的外部網絡連接。常用的鑒別方法有：登錄時要求用戶名和口令。但對重要的系統(tǒng)組織應基于風險考慮其他鑒別方式，如生物鑒別等。

　　ISO27001標準附錄 A.11.4.3　網絡上的設備標識

　　【內容解析】

　　適當時，對網絡上的設備進行標識，是鑒別來自一個特定受控環(huán)境和設備的網絡通訊的安全手段。

　　ISO27001標準附錄 A.11.4.4　遠程診斷和配置端口的保護

　　【內容解析】

　　對網絡和通信設備的診斷和遠程端口，組織應嚴密控制，防止未授權的物理和邏輯訪問。

　　ISO27001標準附錄 A.11.4.5　網絡隔離

　　【內容解析】

　　網絡服務是基于網絡的服務，包括因特網服務、內部網絡、無線網絡、IP電話和視頻廣播等。在可能的情況下應將網絡服務在邏輯網絡中進行隔離，以增強控制的深度。

　　ISO27001標準附錄 A.11.4.6　網絡連接控制

　　【內容解析】

　　網絡擴展到組織的邊界之外通常是為了便利與外部第三方供應商或外部商業(yè)合作伙伴開展業(yè)務活動。從信息安全的角度，對這種網絡連接控制是一種挑戰(zhàn)，而且常被忽略，因為供應商和業(yè)務伙伴在使用組織網絡時是受信的。所以組織應實施控制措施來限制用戶的連接能力和對網絡的訪問能力。

　　ISO27001標準附錄 A.11.4.7　網絡路由控制

　　【內容解析】

　　網絡路由的邏輯控制對數據和信息流的控制十分關鍵。網絡路由的控制應與對特定應用和服務的訪問控制相結合。

　　網絡路由控制通常需要在IT部門選擇具有相關知識的人員來設計和實施本項所要求的控制措施，并最好經過相關專家的確認。

　　ISO27001標準附錄 A.11.5　操作系統(tǒng)訪問控制

　　ISO27001標準附錄 A.11.5.1　安全登錄規(guī)程

　　【內容解析】

　　操作系統(tǒng)的訪問應通過安全設計的登錄和鑒別規(guī)程來加以保護，將未授權訪問的機會降低到最小。

　　ISO27001標準附錄 A.11.5.2　用戶標識和鑒別

　　【內容解析】

　　對組織信息處理系統(tǒng)訪問的用戶應有唯一的用戶賬戶，并在允許其訪問系統(tǒng)前采用安全的方式來確認用戶的身份。

　　ISO27001標準附錄 A.11.5.3　口令管理系統(tǒng)

　　【內容解析】

　　應采用系統(tǒng)來管理口令并強制實施口令策略。

　　口令管理系統(tǒng)通常與網絡相關聯(lián)，但也可應用于應用系統(tǒng)和數據庫。

　　ISO27001標準附錄 A.11.5.4　系統(tǒng)實用工具的使用

　　【內容解析】

　　對于超越系統(tǒng)控制的實用工具應限制安裝，如需安裝使用，其使用權限應僅限于指定的管理員。

　　對實用工具的使用應加以監(jiān)視并保留記錄。

　　ISO27001標準附錄 A.11.5.5　會話超時

　　【內容解析】

　　操作系統(tǒng)和終端在預定的時間段內，如會話沒有活動應自動加鎖，以防止未授權訪問。

　　ISO27001標準附錄 A.11.5.6　聯(lián)機時間的限定

　　【內容解析】

　　對識別為高風險的應用系統(tǒng)，在聯(lián)機時間上要有限制，超過約定聯(lián)機時間應加鎖或斷開聯(lián)機。

　　ISO27001標準附錄 A.11.6　應用和信息訪問控制

　　ISO27001標準附錄 A.11.6.1　信息訪問限制

　　【內容解析】

　　應用系統(tǒng)具有儲存和處理關鍵、敏感信息和數據的能力。組織對這類數據和信息應依照已確定的訪問控制策略采取保護性的控制措施(例如，限制訪問權限，包括讀、寫、刪除等)，以防止未授權的訪問及信息損毀。

　　ISO27001標準附錄 A.11.6.2　敏感系統(tǒng)隔離

　　【內容解析】

　　如果識別為高敏感性的應用系統(tǒng)，應加以隔離、嚴密控制并監(jiān)視。同時對信息處理系統(tǒng)或應用系統(tǒng)的責任人，也應有相應的隔離要求。

　　ISO27001標準附錄 A.11.7　移動計算和遠程工作

　　ISO27001標準附錄 A.11.7.1　移動計算和通信

　　【內容解析】

　　移動計算是指可改變位置的計算裝置，通常包括便攜式計算機(WearableComputer)、PDISO27001標準附錄 A.⒊兌貧縋?、智纳愔机、车载紦溷机（carputer)。

　　移動計算的使用，因為處在受控的網絡環(huán)境之外，所以是組織面臨的特殊風險。需要組織策劃相應的控制措施。

　　ISO27001標準附錄 A.11.7.2　遠程工作

　　【內容解析】

　　遠程工作是指利用信息通信技術(ICT)使工作能在遠離工作結果產生的地點進行，例如，居家遠程工作(Home-basedtelework)。

　　遠程工作者需要訪問組織的資源，包括內部應用系統(tǒng)和信息。所以組織應明確遠程工作策略，并針對從外部訪問組織資源的相關風險，開發(fā)和實施特定的控制和防護措施。

上一篇：ISO27001信息安全風險分類參考標準

下一篇：信息安全的定義

蜜臀AⅤ色欲AV浪潮夜夜嗨,久久精品国产精品亚洲蜜月,97免费人妻无码视频,97SE亚洲国产综合在线

項目類別

客戶驗廠項目

質量/人權驗廠

品質管理

供應鏈安全

環(huán)境管理

食品安全

信息安全

風險管理

ISO27001標準附錄“A.11訪問控制”解析

相關資訊

ISO27001信息安全管理體系標準的起源和發(fā)展

ISO27001信息安全管理體系標準的主要內容

共有條評論網友評論

400-8388-163

項目類別

ISO27001標準附錄“A.11訪問控制”解析

相關資訊

共有條評論 網友評論

400-8388-163

共有條評論網友評論