ISO27001標(biāo)準(zhǔn)附錄 A.11.1　訪問(wèn)控制的業(yè)務(wù)要求

ISO27001標(biāo)準(zhǔn)附錄 A.11.1.1　訪問(wèn)控制策略

【內(nèi)容解析】

管理層應(yīng)制定并發(fā)布一份訪問(wèn)控制策略文件，訪問(wèn)控制策略應(yīng)滿足組織對(duì)業(yè)務(wù)運(yùn)行、法律法規(guī)、合同和其他特殊情況下的要求。

訪問(wèn)控制是信息安全的關(guān)鍵概念，組織應(yīng)十分關(guān)注訪問(wèn)控制的運(yùn)行，并將當(dāng)前實(shí)施狀況與標(biāo)準(zhǔn)本條款的要求進(jìn)行比較以改進(jìn)訪問(wèn)安全。

ISO27001標(biāo)準(zhǔn)附錄 A.11.2　用戶訪問(wèn)管理

【內(nèi)容解析】

組織信息處理設(shè)施的用戶應(yīng)按照訪問(wèn)控制策略并結(jié)合相應(yīng)的方法加以鑒別和授權(quán)。

ISO27001標(biāo)準(zhǔn)附錄 A.11.2.1　用戶注冊(cè)

【內(nèi)容解析】

管理層應(yīng)依據(jù)訪問(wèn)控制策略對(duì)需要訪問(wèn)信息處理系統(tǒng)和應(yīng)用的用戶實(shí)施注冊(cè)和注銷賬戶的規(guī)程。

ISO27001標(biāo)準(zhǔn)附錄 A.11.2.2　特殊權(quán)限管理

【內(nèi)容解析】

特殊權(quán)限在信息安全中十分重要，因?yàn)樘貦?quán)是基于信任，通常只授予管理層和特定人員。特殊權(quán)限會(huì)給組織的資產(chǎn)帶來(lái)安全風(fēng)險(xiǎn)，應(yīng)按照規(guī)定策略和指南嚴(yán)格控制其分配和使用。

在企業(yè)內(nèi)控方面可以借鑒最小特權(quán)原則，即將訪問(wèn)權(quán)限制在履行其職責(zé)所需的最低限度。

ISO27001標(biāo)準(zhǔn)附錄 A.11.2.3　用戶口令管理

【內(nèi)容解析】

口令是用來(lái)鑒別用戶身份的一組秘密字符串，用來(lái)控制對(duì)數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)?？诹罟芾硎且粋€(gè)過(guò)程，包含對(duì)口令策略（規(guī)則）和管理規(guī)程的定義、實(shí)施和維護(hù)。有效的口令管理可降低對(duì)信息處理設(shè)施和信息的損害風(fēng)險(xiǎn)，保護(hù)口令的保密性、完整性和可用性。

ISO27001標(biāo)準(zhǔn)附錄 A.11.2.4　用戶訪問(wèn)權(quán)的復(fù)查

【內(nèi)容解析】

對(duì)訪問(wèn)權(quán)應(yīng)由不負(fù)責(zé)建立賬戶的有資質(zhì)的人員進(jìn)行定期的復(fù)查，以確?，F(xiàn)有的訪問(wèn)權(quán)符合其角色和職責(zé)。

ISO27001標(biāo)準(zhǔn)附錄 A.11.3　用戶職責(zé)

ISO27001標(biāo)準(zhǔn)附錄 A.11.3.1　口令使用

【內(nèi)容解析】

組織應(yīng)基于良好的口令實(shí)踐建立口令結(jié)構(gòu)，用戶要遵守組織的要求，并建立良好的口令使用習(xí)慣。

ISO27001標(biāo)準(zhǔn)附錄 A.11.3.2　無(wú)人值守的用戶設(shè)備

【內(nèi)容解析】

當(dāng)信息處理設(shè)施和應(yīng)用系統(tǒng)處于無(wú)人值守時(shí)，管理層應(yīng)有必要的措施確保無(wú)人值守的設(shè)備得到適當(dāng)?shù)谋Ｗo(hù)。如當(dāng)非工作時(shí)間，由值班人員對(duì)工作場(chǎng)所和設(shè)施進(jìn)行定期巡查等。

ISO27001標(biāo)準(zhǔn)附錄 A.11.3.3　清空桌面和屏幕策略

【內(nèi)容解析】

當(dāng)員工一段時(shí)間（如開會(huì)）不在工作區(qū)時(shí)，他們的工作區(qū)域應(yīng)確保安全，任何形式的敏感信息未被非授權(quán)訪問(wèn)。對(duì)此組織應(yīng)規(guī)定相應(yīng)的策略或制度。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4　網(wǎng)絡(luò)訪問(wèn)控制

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.1　使用網(wǎng)絡(luò)服務(wù)的策略

【內(nèi)容解析】

網(wǎng)絡(luò)連接，特別是因特網(wǎng)和無(wú)線網(wǎng)連接，需要在信息處理環(huán)境中識(shí)別風(fēng)險(xiǎn)。管理層對(duì)使用網(wǎng)絡(luò)服務(wù)以及日常監(jiān)視網(wǎng)絡(luò)環(huán)境應(yīng)規(guī)定有明確的策略，以確保用戶僅能訪問(wèn)得到授權(quán)的服務(wù)。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.2　外部連接的用戶鑒別

【內(nèi)容解析】

應(yīng)采用安全的鑒別方式來(lái)控制遠(yuǎn)程用戶對(duì)信息處理設(shè)施的外部網(wǎng)絡(luò)連接。常用的鑒別方法有：登錄時(shí)要求用戶名和口令。但對(duì)重要的系統(tǒng)組織應(yīng)基于風(fēng)險(xiǎn)考慮其他鑒別方式，如生物鑒別等。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.3　網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)

【內(nèi)容解析】

適當(dāng)時(shí)，對(duì)網(wǎng)絡(luò)上的設(shè)備進(jìn)行標(biāo)識(shí)，是鑒別來(lái)自一個(gè)特定受控環(huán)境和設(shè)備的網(wǎng)絡(luò)通訊的安全手段。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.4　遠(yuǎn)程診斷和配置端口的保護(hù)

【內(nèi)容解析】

對(duì)網(wǎng)絡(luò)和通信設(shè)備的診斷和遠(yuǎn)程端口，組織應(yīng)嚴(yán)密控制，防止未授權(quán)的物理和邏輯訪問(wèn)。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.5　網(wǎng)絡(luò)隔離

【內(nèi)容解析】

網(wǎng)絡(luò)服務(wù)是基于網(wǎng)絡(luò)的服務(wù)，包括因特網(wǎng)服務(wù)、內(nèi)部網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)、IP電話和視頻廣播等。在可能的情況下應(yīng)將網(wǎng)絡(luò)服務(wù)在邏輯網(wǎng)絡(luò)中進(jìn)行隔離，以增強(qiáng)控制的深度。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.6　網(wǎng)絡(luò)連接控制

【內(nèi)容解析】

網(wǎng)絡(luò)擴(kuò)展到組織的邊界之外通常是為了便利與外部第三方供應(yīng)商或外部商業(yè)合作伙伴開展業(yè)務(wù)活動(dòng)。從信息安全的角度，對(duì)這種網(wǎng)絡(luò)連接控制是一種挑戰(zhàn)，而且常被忽略，因?yàn)楣?yīng)商和業(yè)務(wù)伙伴在使用組織網(wǎng)絡(luò)時(shí)是受信的。所以組織應(yīng)實(shí)施控制措施來(lái)限制用戶的連接能力和對(duì)網(wǎng)絡(luò)的訪問(wèn)能力。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.7　網(wǎng)絡(luò)路由控制

【內(nèi)容解析】

網(wǎng)絡(luò)路由的邏輯控制對(duì)數(shù)據(jù)和信息流的控制十分關(guān)鍵。網(wǎng)絡(luò)路由的控制應(yīng)與對(duì)特定應(yīng)用和服務(wù)的訪問(wèn)控制相結(jié)合。

網(wǎng)絡(luò)路由控制通常需要在IT部門選擇具有相關(guān)知識(shí)的人員來(lái)設(shè)計(jì)和實(shí)施本項(xiàng)所要求的控制措施，并最好經(jīng)過(guò)相關(guān)專家的確認(rèn)。

ISO27001標(biāo)準(zhǔn)附錄 A.11.5　操作系統(tǒng)訪問(wèn)控制

ISO27001標(biāo)準(zhǔn)附錄 A.11.5.1　安全登錄規(guī)程

【內(nèi)容解析】

操作系統(tǒng)的訪問(wèn)應(yīng)通過(guò)安全設(shè)計(jì)的登錄和鑒別規(guī)程來(lái)加以保護(hù)，將未授權(quán)訪問(wèn)的機(jī)會(huì)降低到最小。

ISO27001標(biāo)準(zhǔn)附錄 A.11.5.2　用戶標(biāo)識(shí)和鑒別

【內(nèi)容解析】

對(duì)組織信息處理系統(tǒng)訪問(wèn)的用戶應(yīng)有唯一的用戶賬戶，并在允許其訪問(wèn)系統(tǒng)前采用安全的方式來(lái)確認(rèn)用戶的身份。

ISO27001標(biāo)準(zhǔn)附錄 A.11.5.3　口令管理系統(tǒng)

【內(nèi)容解析】

應(yīng)采用系統(tǒng)來(lái)管理口令并強(qiáng)制實(shí)施口令策略。

口令管理系統(tǒng)通常與網(wǎng)絡(luò)相關(guān)聯(lián)，但也可應(yīng)用于應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)。

ISO27001標(biāo)準(zhǔn)附錄 A.11.5.4　系統(tǒng)實(shí)用工具的使用

【內(nèi)容解析】

對(duì)于超越系統(tǒng)控制的實(shí)用工具應(yīng)限制安裝，如需安裝使用，其使用權(quán)限應(yīng)僅限于指定的管理員。

對(duì)實(shí)用工具的使用應(yīng)加以監(jiān)視并保留記錄。

ISO27001標(biāo)準(zhǔn)附錄 A.11.5.5　會(huì)話超時(shí)

【內(nèi)容解析】

操作系統(tǒng)和終端在預(yù)定的時(shí)間段內(nèi)，如會(huì)話沒(méi)有活動(dòng)應(yīng)自動(dòng)加鎖，以防止未授權(quán)訪問(wèn)。

ISO27001標(biāo)準(zhǔn)附錄 A.11.5.6　聯(lián)機(jī)時(shí)間的限定

【內(nèi)容解析】

對(duì)識(shí)別為高風(fēng)險(xiǎn)的應(yīng)用系統(tǒng)，在聯(lián)機(jī)時(shí)間上要有限制，超過(guò)約定聯(lián)機(jī)時(shí)間應(yīng)加鎖或斷開聯(lián)機(jī)。

ISO27001標(biāo)準(zhǔn)附錄 A.11.6　應(yīng)用和信息訪問(wèn)控制

ISO27001標(biāo)準(zhǔn)附錄 A.11.6.1　信息訪問(wèn)限制

【內(nèi)容解析】

應(yīng)用系統(tǒng)具有儲(chǔ)存和處理關(guān)鍵、敏感信息和數(shù)據(jù)的能力。組織對(duì)這類數(shù)據(jù)和信息應(yīng)依照已確定的訪問(wèn)控制策略采取保護(hù)性的控制措施（例如，限制訪問(wèn)權(quán)限，包括讀、寫、刪除等），以防止未授權(quán)的訪問(wèn)及信息損毀。

ISO27001標(biāo)準(zhǔn)附錄 A.11.6.2　敏感系統(tǒng)隔離

【內(nèi)容解析】

如果識(shí)別為高敏感性的應(yīng)用系統(tǒng)，應(yīng)加以隔離、嚴(yán)密控制并監(jiān)視。同時(shí)對(duì)信息處理系統(tǒng)或應(yīng)用系統(tǒng)的責(zé)任人，也應(yīng)有相應(yīng)的隔離要求。

ISO27001標(biāo)準(zhǔn)附錄 A.11.7　移動(dòng)計(jì)算和遠(yuǎn)程工作

ISO27001標(biāo)準(zhǔn)附錄 A.11.7.1　移動(dòng)計(jì)算和通信

【內(nèi)容解析】

移動(dòng)計(jì)算是指可改變位置的計(jì)算裝置，通常包括便攜式計(jì)算機(jī)（WearableComputer）、PDISO27001標(biāo)準(zhǔn)附錄 A.⒊兌貧縋?、智纳愔机、车载紦溷机（carputer）。

移動(dòng)計(jì)算的使用，因?yàn)樘幵谑芸氐木W(wǎng)絡(luò)環(huán)境之外，所以是組織面臨的特殊風(fēng)險(xiǎn)。需要組織策劃相應(yīng)的控制措施。

ISO27001標(biāo)準(zhǔn)附錄 A.11.7.2　遠(yuǎn)程工作

【內(nèi)容解析】

遠(yuǎn)程工作是指利用信息通信技術(shù)（ICT）使工作能在遠(yuǎn)離工作結(jié)果產(chǎn)生的地點(diǎn)進(jìn)行，例如，居家遠(yuǎn)程工作（Home-basedtelework）。

遠(yuǎn)程工作者需要訪問(wèn)組織的資源，包括內(nèi)部應(yīng)用系統(tǒng)和信息。所以組織應(yīng)明確遠(yuǎn)程工作策略，并針對(duì)從外部訪問(wèn)組織資源的相關(guān)風(fēng)險(xiǎn)，開發(fā)和實(shí)施特定的控制和防護(hù)措施。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202008/ccaa_5466.html