ISMS信息安全体系访问控制.docVIP

中国3000万经理人首选培训网站 更多免费资料下载请进： 好好学习社区 ISMS信息安全体系访问控制 访问控制的商业要求 目标：控制对信息的访问 对信息和商业流程的访问应在商务和安全需求的基础上进行控制。 访问控制应考虑到信息传播和授权方面的方针。 1. 访问控制方针 (1) 方针和商务需求 访问控制的商务需求应进行定义和文档化。每一个用户或用户组访问控制规则和权力都应在访问方针报告书中明确声明。应给用户和服务提供商应提供由访问控制决定的商务需求的明确声明。 访问控制方针应考虑下述问题： 不同的商务应用的安全需求 所有和商务应用相关的信息的辨认 信息传播和授权方针，如了解原则、信息的安全级别和分类的需求 不同系统和网络的访问控制和信息分类方针之间的一致性 关于保护对数据和服务的有关法规和合同义务（见12款） 对普通范畴工作的标准用户访问文件 对于公认一切类型的可用连接的分布式和网络化的环境的访问权限的管理 (2) 访问控制规则 为详细说明访问控制规则，应注意考虑以下各项： 区分必须执行的规则与可选的或有条件则应执行的规则； 所建立的规则应以“未经明确允许的都是禁止的”为前提，而不是以较弱的原则“未经明确禁止的都是允许的”为前提； 信息标记的变化（见5.2），包括由信息处理设备自动引起的的或是有用户决定引起的； 由信息系统和管理人员引起的用户许可的变化； 规则在颁布之前需要管理人员的批准或其他形式的许可，而一些则不需要； 用户访问管理 目标：防止对信息系统的未授权访问 应有正式的流程来控制对信息系统和服务的访问权的分配。 流程应该涵盖用户访问的生存期的各个阶段，包括从新用户的注册，到不再需要访问信息系统和服务时的注销。在适当情况下，对于可以超越系统控制的访问特权的分配，控制时应给予特别的注意。 1. 用户注册 应有正式的用户注册和注销流程来授权对多用户信息系统和服务的访问。 应通过指示的用户注册流程控制对多用户信息服务的访问，这一流程应包括： 使用唯一的用户身份识别符，这样可将用户和其行为联系起来，并使用户为其行为负责。只有工作执行需要时，才允许使用群识别符； 检查用户是否获得了系统所有人对信息系统和服务的授权访问。管理人员的个别授权也是适当的； 检查所授予的访问级别对于商务目的是否合适，并且是否和组织安全方针相一致，访问级别不可危害职责的划分； 向用户颁发其访问权限的书面声明； 要求用户签订申明书，表明其了解自己的访问条件； 确保只有在授权流程完成之后，服务提供商才可以提供服务； 保留一份记录所有注册使用该服务的用户的正式名单； 对于改变工作或离开组织的用户，应立即取消其访问权； 定期的检查和取消冗余的用户身份识别符和账户； 确保冗余的用户身份识别符不分配给其他用户； 若员工或服务代理商试图进行越权访问，应有条款对此详加说明，并考虑将其包含在员工合同和服务合同中（见6.1.4和6.3.5）。 2. 特权管理 应对特权的使用和分配（是多用户信息系统的特点或功能，它允许用户超越系统或应用控制措施的控制）进行限制和控制。对系统特权的不恰当的使用是被破坏的系统发生故障的一个主要原因。 禁止未授权访问的多用户系统应该具备由正式的授权过程所控制的特权分配。应考虑如下的步骤： 和系统产品相关联的特权，如操作系统、数据库管理系统和每个应用软件，及需要进行特权分配的用户的类别都要进行辨别； 应该在需要的时候才给用户分配特权，也就是说，只给最少的功能角色直至它们需要； 应保留授权流程和已分配的特权的记录。在授权过程完成之前，不得授予特权； 系统例行测试的开发和使用应避免对用户授予特权； 特权应分配给和正常业务使用所需的不同用户。 3. 用户密码管理 密码是证实访问信息系统或服务的用户身份的常用方法。密码的分配需要由正式的管理流程来控制，其步骤应是： 需要用户签订一份声明，确保个人密码的保密性和工作组密码只限于组成员之中（这可能包含在雇用条款和条件中，见6.1.4）； 在需要用户保留他们自己的密码的情况下，确保向他们提供了一个安全的、临时性的密码，此密码要立即进行更换。用户忘记密码时所提供的临时密码，必须通过用户明确的身份标识来提供； 需要在安全模式下提供临时密码。避免使用第三方或未受保护（明文）的电子邮件信息。用户需要对受到的密码进行确认。 密码不得以未受保护的形式储存在计算机内（见9.5.4）其他的用于用户识别和辨别的技术，比如生物技术，如指纹检验、签名验证和硬件标记，如芯片卡，都是可用的，在适当的时候应该考虑采用。 4. 用户访问权的审查 确保对数据和信息服务的访问的有效控制，管理人员应该定期的执行对用户访问权的检查工作来确保： 用户的访问权限的定期或变更后检查（建议6个月为一周期）； 特殊访问权的批准要更经常的进行审查，建议3