设为首页 | 加入收藏 | XML

ISO9001认证 ISO9000认证,ISO14001认证,ISO14000认证,ISO20000认证,ISO27001认证
·当前位置:首页 > ISO27001认证 > 如何理解“A.9.1 访问控制的业务要求”条款?

如何理解“A.9.1 访问控制的业务要求”条款?

文章来源:吉林华道  添加时间:2021/1/12

 A.9.1 访问控制的业务要求

目的∶限制对信息和信息处理设施的访问。

【标准条款】

A.9.1.1 访问控制策略

应基于业务和信息安全要求,建立访问控制策略,形成文件并进行评审。

【理解与应用】

资产责任主体宜就其资产,为特定用户角色确定适当的访问控制规则、访问权及限制,其详细程度和控制的严格程度宜反映相关的信息安全风险。

访问控制包括逻辑的和物理的(见 A.11物理和环境安全),且宜一并考虑。宜为用户和服务提供商提供一份清晰的说明书,其中陈述了有该访问控制所要满足的业务要求。

该策略宜考虑到下列内容

1)业务应用的安全要求;

2)信息传播和授权的策略,例如,"按需所知"原则和信息安全级别以及信息分级的需要(见 A.8.2 信息分级);

3)系统和网络的访问权和信息分级策略之间的一致性;

4)关于限制访问数据或服务的相关法律和合同义务(见 A.18.1符合法律和合同要求);

5)在了解各种可用的连接类型的分布式和网络化环境中,访问权的管理;

6)访问控制角色的分离,例如访问请求、访问授权、访问管理;

7)访问请求的正式授权要求(见 A.9.2.1用户注册和注销、A.9.2.2用户访问供给);

8)有关访问权定期评审的要求(见 A.9.2.5 用户访问权的评审);

9)访问权的取消(见 A.9.2.6访问权的移除或调整);

10)涉及用户身份、秘密鉴别信息的使用和管理有关的所有重大事态的记录的归档;

11)具有特许访问权的角色(见 A.9.2.3特许访问权管理)。

 

【标准条款】

A.9.1.2 网络和网络服务的访问

应仅向用户提供他们已获专门授权使用的网络和网络服务的访问。

【理解与应用】

宜制定一个有关网络和网络服务使用的策略。该策略宜包括

1)允许被访问的网络和网络服务;

2)确定允许谁访问哪些网络和网络服务的授权规程;

3)保护访问网络连接和网络服务的管理控制和规程;

4)访问网络和网络服务使用的手段(如使用VPN和无线网络);

5)访问各种网络服务的用户鉴别要求;

6)监视网络服务的使用。

有关网络服务使用策略宜与组织访问控制策略相一致(见 A.9.1.1访问控制策略)。

联系方式
咨询电话:4006-010-725
北 京:136-8120-0268
上 海:152-2175-9315
青 岛:137-9194-1216
杭 州:158-6716-8335
西 安:139-0928-9277