ISMS用户访问管理.docVIP

中国3000万经理人首选培训网站 更多免费资料下载请进： 好好学习社区 ISMS用户访问管理 目标：防止对信息系统的未授权访问 应有正式的流程来控制对信息系统和服务的访问权的分配。 流程应该涵盖用户访问的生存期的各个阶段，包括从新用户的注册，到不再需要访问信息系统和服务时的注销。在适当情况下，对于可以超越系统控制的访问特权的分配，控制时应给予特别的注意。 1. 用户注册 应有正式的用户注册和注销流程来授权对多用户信息系统和服务的访问。 应通过指示的用户注册流程控制对多用户信息服务的访问，这一流程应包括： 使用唯一的用户身份识别符，这样可将用户和其行为联系起来，并使用户为其行为负责。只有工作执行需要时，才允许使用群识别符； 检查用户是否获得了系统所有人对信息系统和服务的授权访问。管理人员的个别授权也是适当的； 检查所授予的访问级别对于商务目的是否合适，并且是否和组织安全方针相一致，访问级别不可危害职责的划分； 向用户颁发其访问权限的书面声明； 要求用户签订申明书，表明其了解自己的访问条件； 确保只有在授权流程完成之后，服务提供商才可以提供服务； 保留一份记录所有注册使用该服务的用户的正式名单； 对于改变工作或离开组织的用户，应立即取消其访问权； 定期的检查和取消冗余的用户身份识别符和账户； 确保冗余的用户身份识别符不分配给其他用户； 若员工或服务代理商试图进行越权访问，应有条款对此详加说明，并考虑将其包含在员工合同和服务合同中（见6.1.4和6.3.5）。 2. 特权管理 应对特权的使用和分配（是多用户信息系统的特点或功能，它允许用户超越系统或应用控制措施的控制）进行限制和控制。对系统特权的不恰当的使用是被破坏的系统发生故障的一个主要原因。 禁止未授权访问的多用户系统应该具备由正式的授权过程所控制的特权分配。应考虑如下的步骤： 和系统产品相关联的特权，如操作系统、数据库管理系统和每个应用软件，及需要进行特权分配的用户的类别都要进行辨别； 应该在需要的时候才给用户分配特权，也就是说，只给最少的功能角色直至它们需要； 应保留授权流程和已分配的特权的记录。在授权过程完成之前，不得授予特权； 系统例行测试的开发和使用应避免对用户授予特权； 特权应分配给和正常业务使用所需的不同用户。 3. 用户密码管理 密码是证实访问信息系统或服务的用户身份的常用方法。密码的分配需要由正式的管理流程来控制，其步骤应是： 需要用户签订一份声明，确保个人密码的保密性和工作组密码只限于组成员之中（这可能包含在雇用条款和条件中，见6.1.4）； 在需要用户保留他们自己的密码的情况下，确保向他们提供了一个安全的、临时性的密码，此密码要立即进行更换。用户忘记密码时所提供的临时密码，必须通过用户明确的身份标识来提供； 需要在安全模式下提供临时密码。避免使用第三方或未受保护（明文）的电子邮件信息。用户需要对受到的密码进行确认。 密码不得以未受保护的形式储存在计算机内（见9.5.4）其他的用于用户识别和辨别的技术，比如生物技术，如指纹检验、签名验证和硬件标记，如芯片卡，都是可用的，在适当的时候应该考虑采用。 4. 用户访问权的审查 确保对数据和信息服务的访问的有效控制，管理人员应该定期的执行对用户访问权的检查工作来确保： 用户的访问权限的定期或变更后检查（建议6个月为一周期）； 特殊访问权的批准要更经常的进行审查，建议3个月为一个周期； 定期的审查特权分配，以确保不会获得未经授权的特权。 用户职责 目标：防止未授权的用户访问 已授权用户的合作是有效的安全的基本条件。 应使用户意识到其在维护有效的访问控制中的责任，特别是关系到密码的使用和用户设备的安全问题。 1. 密码的使用 用户应该在选择和使用密码时遵循良好的安全规范。 密码提供了证实用户身份的一种方法，从而证实对信息处理设备的访问权。建议所有的用户： 保护密码的保密性； 避免保有密码的文字记录，除非这种记录可以被安全的保存起来； 如有迹象表明系统或密码受到危害，则应更改密码； 选择最小长度为六个字符的高质量的密码，密码应： 便于记忆； 不基于他人根据与本人有关的信息易于猜到或获得的任何事物，如名字，电话号码，和生日等； 不要采用连续同一字符或是全数字群或全字符群； 定期的或基于访问次数来更改密码（特权账户的密码和普通密码相比，要更换得更频繁一些）避免重新使用或循环使用旧密码； 第一次登录时即更换临时密码； 不把密码包含在任何自动登录的程序中，如保存在宏或功能键中； 不要共享个人密码； 如果用户需要访问多项服务或平台，并需要保留多个密码，则建议用户在所有可以为所保存的密码提供合理保护级别的服务中使用唯一的、高质量的密码（见上述的d）。 2. 无人看管的用户设备 用户应确保对无人看管的设备有适当的保护。在用户