ISO27001標準附錄 A.11.1 訪問控制的業務要求
ISO27001標準附錄 A.11.1.1 訪問控制策略
【內容解析】
管理層應制定并發布一份訪問控制策略文件,訪問控制策略應滿足組織對業務運行、法律法規、合同和其他特殊情況下的要求。
訪問控制是信息安全的關鍵概念,組織應十分關注訪問控制的運行,并將當前實施狀況與標準本條款的要求進行比較以改進訪問安全。
ISO27001標準附錄 A.11.2 用戶訪問管理
【內容解析】
組織信息處理設施的用戶應按照訪問控制策略并結合相應的方法加以鑒別和授權。
ISO27001標準附錄 A.11.2.1 用戶注冊
【內容解析】
管理層應依據訪問控制策略對需要訪問信息處理系統和應用的用戶實施注冊和注銷賬戶的規程。
ISO27001標準附錄 A.11.2.2 特殊權限管理
【內容解析】
特殊權限在信息安全中十分重要,因為特權是基于信任,通常只授予管理層和特定人員。特殊權限會給組織的資產帶來安全風險,應按照規定策略和指南嚴格控制其分配和使用。
在企業內控方面可以借鑒最小特權原則,即將訪問權限制在履行其職責所需的最低限度。
ISO27001標準附錄 A.11.2.3 用戶口令管理
【內容解析】
口令是用來鑒別用戶身份的一組秘密字符串,用來控制對數據、系統和網絡的訪問。口令管理是一個過程,包含對口令策略(規則)和管理規程的定義、實施和維護。有效的口令管理可降低對信息處理設施和信息的損害風險,保護口令的保密性、完整性和可用性。
ISO27001標準附錄 A.11.2.4 用戶訪問權的復查
【內容解析】
對訪問權應由不負責建立賬戶的有資質的人員進行定期的復查,以確保現有的訪問權符合其角色和職責。
ISO27001標準附錄 A.11.3 用戶職責
ISO27001標準附錄 A.11.3.1 口令使用
【內容解析】
組織應基于良好的口令實踐建立口令結構,用戶要遵守組織的要求,并建立良好的口令使用習慣。
ISO27001標準附錄 A.11.3.2 無人值守的用戶設備
【內容解析】
當信息處理設施和應用系統處于無人值守時,管理層應有必要的措施確保無人值守的設備得到適當的保護。如當非工作時間,由值班人員對工作場所和設施進行定期巡查等。
ISO27001標準附錄 A.11.3.3 清空桌面和屏幕策略
【內容解析】
當員工一段時間(如開會)不在工作區時,他們的工作區域應確保安全,任何形式的敏感信息未被非授權訪問。對此組織應規定相應的策略或制度。
ISO27001標準附錄 A.11.4 網絡訪問控制
ISO27001標準附錄 A.11.4.1 使用網絡服務的策略
【內容解析】
網絡連接,特別是因特網和無線網連接,需要在信息處理環境中識別風險。管理層對使用網絡服務以及日常監視網絡環境應規定有明確的策略,以確保用戶僅能訪問得到授權的服務。
ISO27001標準附錄 A.11.4.2 外部連接的用戶鑒別
【內容解析】
應采用安全的鑒別方式來控制遠程用戶對信息處理設施的外部網絡連接。常用的鑒別方法有:登錄時要求用戶名和口令。但對重要的系統組織應基于風險考慮其他鑒別方式,如生物鑒別等。
ISO27001標準附錄 A.11.4.3 網絡上的設備標識
【內容解析】
適當時,對網絡上的設備進行標識,是鑒別來自一個特定受控環境和設備的網絡通訊的安全手段。
ISO27001標準附錄 A.11.4.4 遠程診斷和配置端口的保護
【內容解析】
對網絡和通信設備的診斷和遠程端口,組織應嚴密控制,防止未授權的物理和邏輯訪問。
ISO27001標準附錄 A.11.4.5 網絡隔離
【內容解析】
網絡服務是基于網絡的服務,包括因特網服務、內部網絡、無線網絡、IP電話和視頻廣播等。在可能的情況下應將網絡服務在邏輯網絡中進行隔離,以增強控制的深度。
ISO27001標準附錄 A.11.4.6 網絡連接控制
【內容解析】
網絡擴展到組織的邊界之外通常是為了便利與外部第三方供應商或外部商業合作伙伴開展業務活動。從信息安全的角度,對這種網絡連接控制是一種挑戰,而且常被忽略,因為供應商和業務伙伴在使用組織網絡時是受信的。所以組織應實施控制措施來限制用戶的連接能力和對網絡的訪問能力。
ISO27001標準附錄 A.11.4.7 網絡路由控制
【內容解析】
網絡路由的邏輯控制對數據和信息流的控制十分關鍵。網絡路由的控制應與對特定應用和服務的訪問控制相結合。
網絡路由控制通常需要在IT部門選擇具有相關知識的人員來設計和實施本項所要求的控制措施,并最好經過相關專家的確認。
ISO27001標準附錄 A.11.5 操作系統訪問控制
ISO27001標準附錄 A.11.5.1 安全登錄規程
【內容解析】
操作系統的訪問應通過安全設計的登錄和鑒別規程來加以保護,將未授權訪問的機會降低到最小。
ISO27001標準附錄 A.11.5.2 用戶標識和鑒別
【內容解析】
對組織信息處理系統訪問的用戶應有唯一的用戶賬戶,并在允許其訪問系統前采用安全的方式來確認用戶的身份。
ISO27001標準附錄 A.11.5.3 口令管理系統
【內容解析】
應采用系統來管理口令并強制實施口令策略。
口令管理系統通常與網絡相關聯,但也可應用于應用系統和數據庫。
ISO27001標準附錄 A.11.5.4 系統實用工具的使用
【內容解析】
對于超越系統控制的實用工具應限制安裝,如需安裝使用,其使用權限應僅限于指定的管理員。
對實用工具的使用應加以監視并保留記錄。
ISO27001標準附錄 A.11.5.5 會話超時
【內容解析】
操作系統和終端在預定的時間段內,如會話沒有活動應自動加鎖,以防止未授權訪問。
ISO27001標準附錄 A.11.5.6 聯機時間的限定
【內容解析】
對識別為高風險的應用系統,在聯機時間上要有限制,超過約定聯機時間應加鎖或斷開聯機。
ISO27001標準附錄 A.11.6 應用和信息訪問控制
ISO27001標準附錄 A.11.6.1 信息訪問限制
【內容解析】
應用系統具有儲存和處理關鍵、敏感信息和數據的能力。組織對這類數據和信息應依照已確定的訪問控制策略采取保護性的控制措施(例如,限制訪問權限,包括讀、寫、刪除等),以防止未授權的訪問及信息損毀。
ISO27001標準附錄 A.11.6.2 敏感系統隔離
【內容解析】
如果識別為高敏感性的應用系統,應加以隔離、嚴密控制并監視。同時對信息處理系統或應用系統的責任人,也應有相應的隔離要求。
ISO27001標準附錄 A.11.7 移動計算和遠程工作
ISO27001標準附錄 A.11.7.1 移動計算和通信
【內容解析】
移動計算是指可改變位置的計算裝置,通常包括便攜式計算機(WearableComputer)、PDISO27001標準附錄 A.⒊兌貧縋浴⒅悄蓯只⒊翟丶撲慊╟arputer)。
移動計算的使用,因為處在受控的網絡環境之外,所以是組織面臨的特殊風險。需要組織策劃相應的控制措施。
ISO27001標準附錄 A.11.7.2 遠程工作
【內容解析】
遠程工作是指利用信息通信技術(ICT)使工作能在遠離工作結果產生的地點進行,例如,居家遠程工作(Home-basedtelework)。
遠程工作者需要訪問組織的資源,包括內部應用系統和信息。所以組織應明確遠程工作策略,并針對從外部訪問組織資源的相關風險,開發和實施特定的控制和防護措施。
共有條評論 網友評論