400-8388-163

189-2289-2579

验厂认证辅导
当前位置: 首页 > 辅导项目

ISO27001标准附录“A.11访问控制”解析


2019/3/8 15:22:00

  ISO27001标准附录 A.11.1 访问控制的业务要求

  ISO27001标准附录 A.11.1.1 访问控制策略

  【内容解析】

  管理层应制定并发布一份访问控制策略文件,访问控制策略应满足组织对业务运行、法律法规、合同和其他特殊情况下的要求。

  访问控制是信息安全的关键概念,组织应十分关注访问控制的运行,并将当前实施状况与标准本条款的要求进行比较以改进访问安全。

  ISO27001标准附录 A.11.2 用户访问管理

  【内容解析】

  组织信息处理设施的用户应按照访问控制策略并结合相应的方法加以鉴别和授权。

  ISO27001标准附录 A.11.2.1 用户注册

  【内容解析】

  管理层应依据访问控制策略对需要访问信息处理系统和应用的用户实施注册和注销账户的规程。

  ISO27001标准附录 A.11.2.2 特殊权限管理

  【内容解析】

  特殊权限在信息安全中十分重要,因为特权是基于信任,通常只授予管理层和特定人员。特殊权限会给组织的资产带来安全风险,应按照规定策略和指南严格控制其分配和使用。

  在企业内控方面可以借鉴最小特权原则,即将访问权限制在履行其职责所需的最低限度。

  ISO27001标准附录 A.11.2.3 用户口令管理

  【内容解析】

  口令是用来鉴别用户身份的一组秘密字符串,用来控制对数据、系统和网络的访问。口令管理是一个过程,包含对口令策略(规则)和管理规程的定义、实施和维护。有效的口令管理可降低对信息处理设施和信息的损害风险,保护口令的保密性、完整性和可用性。

  ISO27001标准附录 A.11.2.4 用户访问权的复查

  【内容解析】

  对访问权应由不负责建立账户的有资质的人员进行定期的复查,以确保现有的访问权符合其角色和职责。

  ISO27001标准附录 A.11.3 用户职责

  ISO27001标准附录 A.11.3.1 口令使用

  【内容解析】

  组织应基于良好的口令实践建立口令结构,用户要遵守组织的要求,并建立良好的口令使用习惯。

  ISO27001标准附录 A.11.3.2 无人值守的用户设备

  【内容解析】

  当信息处理设施和应用系统处于无人值守时,管理层应有必要的措施确保无人值守的设备得到适当的保护。如当非工作时间,由值班人员对工作场所和设施进行定期巡查等。

  ISO27001标准附录 A.11.3.3 清空桌面和屏幕策略

  【内容解析】

  当员工一段时间(如开会)不在工作区时,他们的工作区域应确保安全,任何形式的敏感信息未被非授权访问。对此组织应规定相应的策略或制度。

  ISO27001标准附录 A.11.4 网络访问控制

  ISO27001标准附录 A.11.4.1 使用网络服务的策略

  【内容解析】

  网络连接,特别是因特网和无线网连接,需要在信息处理环境中识别风险。管理层对使用网络服务以及日常监视网络环境应规定有明确的策略,以确保用户仅能访问得到授权的服务。

  ISO27001标准附录 A.11.4.2 外部连接的用户鉴别

  【内容解析】

  应采用安全的鉴别方式来控制远程用户对信息处理设施的外部网络连接。常用的鉴别方法有:登录时要求用户名和口令。但对重要的系统组织应基于风险考虑其他鉴别方式,如生物鉴别等。

  ISO27001标准附录 A.11.4.3 网络上的设备标识

  【内容解析】

  适当时,对网络上的设备进行标识,是鉴别来自一个特定受控环境和设备的网络通讯的安全手段。

  ISO27001标准附录 A.11.4.4 远程诊断和配置端口的保护

  【内容解析】

  对网络和通信设备的诊断和远程端口,组织应严密控制,防止未授权的物理和逻辑访问。

  ISO27001标准附录 A.11.4.5 网络隔离

  【内容解析】

  网络服务是基于网络的服务,包括因特网服务、内部网络、无线网络、IP电话和视频广播等。在可能的情况下应将网络服务在逻辑网络中进行隔离,以增强控制的深度。

  ISO27001标准附录 A.11.4.6 网络连接控制

  【内容解析】

  网络扩展到组织的边界之外通常是为了便利与外部第三方供应商或外部商业合作伙伴开展业务活动。从信息安全的角度,对这种网络连接控制是一种挑战,而且常被忽略,因为供应商和业务伙伴在使用组织网络时是受信的。所以组织应实施控制措施来限制用户的连接能力和对网络的访问能力。

  ISO27001标准附录 A.11.4.7 网络路由控制

  【内容解析】

  网络路由的逻辑控制对数据和信息流的控制十分关键。网络路由的控制应与对特定应用和服务的访问控制相结合。

  网络路由控制通常需要在IT部门选择具有相关知识的人员来设计和实施本项所要求的控制措施,并最好经过相关专家的确认。

  ISO27001标准附录 A.11.5 操作系统访问控制

  ISO27001标准附录 A.11.5.1 安全登录规程

  【内容解析】

  操作系统的访问应通过安全设计的登录和鉴别规程来加以保护,将未授权访问的机会降低到最小。

  ISO27001标准附录 A.11.5.2 用户标识和鉴别

  【内容解析】

  对组织信息处理系统访问的用户应有唯一的用户账户,并在允许其访问系统前采用安全的方式来确认用户的身份。

  ISO27001标准附录 A.11.5.3 口令管理系统

  【内容解析】

  应采用系统来管理口令并强制实施口令策略。

  口令管理系统通常与网络相关联,但也可应用于应用系统和数据库。

  ISO27001标准附录 A.11.5.4 系统实用工具的使用

  【内容解析】

  对于超越系统控制的实用工具应限制安装,如需安装使用,其使用权限应仅限于指定的管理员。

  对实用工具的使用应加以监视并保留记录。

  ISO27001标准附录 A.11.5.5 会话超时

  【内容解析】

  操作系统和终端在预定的时间段内,如会话没有活动应自动加锁,以防止未授权访问。

  ISO27001标准附录 A.11.5.6 联机时间的限定

  【内容解析】

  对识别为高风险的应用系统,在联机时间上要有限制,超过约定联机时间应加锁或断开联机。

  ISO27001标准附录 A.11.6 应用和信息访问控制

  ISO27001标准附录 A.11.6.1 信息访问限制

  【内容解析】

  应用系统具有储存和处理关键、敏感信息和数据的能力。组织对这类数据和信息应依照已确定的访问控制策略采取保护性的控制措施(例如,限制访问权限,包括读、写、删除等),以防止未授权的访问及信息损毁。

  ISO27001标准附录 A.11.6.2 敏感系统隔离

  【内容解析】

  如果识别为高敏感性的应用系统,应加以隔离、严密控制并监视。同时对信息处理系统或应用系统的责任人,也应有相应的隔离要求。

  ISO27001标准附录 A.11.7 移动计算和远程工作

  ISO27001标准附录 A.11.7.1 移动计算和通信

  【内容解析】

  移动计算是指可改变位置的计算装置,通常包括便携式计算机(WearableComputer)、PDISO27001标准附录 A.⒊兑贫缒浴⒅悄苁只⒊翟丶扑慊╟arputer)。

  移动计算的使用,因为处在受控的网络环境之外,所以是组织面临的特殊风险。需要组织策划相应的控制措施。

  ISO27001标准附录 A.11.7.2 远程工作

  【内容解析】

  远程工作是指利用信息通信技术(ICT)使工作能在远离工作结果产生的地点进行,例如,居家远程工作(Home-basedtelework)。

  远程工作者需要访问组织的资源,包括内部应用系统和信息。所以组织应明确远程工作策略,并针对从外部访问组织资源的相关风险,开发和实施特定的控制和防护措施。

点击咨询

相关资讯

  • ISO27001信息安全管理体系标准的起源和发展

    当今社会是一个信息爆炸的时代,企业对信息的依赖越来越大,没有各种信息的支持,企业就难以维持长远的发展。可见,信息已经成为现代企业的一种重要资产,成为企业成功的关键所在。信息所具有的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合…

    2019/3/8 15:22:04
  • ISO27001信息安全管理体系标准的主要内容

    ISO27001标准第一部分是信息安全管理实施细则其中包含11个主题,定义了133个安全控制。11个主题分别是:①安全策略;②信息安全组织;③资产管理;④人力资源安全;⑤物理和环境安全;⑥通信和操作管理;⑦访问控制;⑧信息系统获取、开发和维护;⑨信息安全事件管理;⑩…

    2019/3/8 15:22:04

共有条评论 网友评论

验证码: 看不清楚?