欢迎来到华道众合官网收藏本站  |  网站地图  |  联系我们
HOME 首页 > ISO27000认证 > “A.9.2 用户访问管理”条款理解与应用

“A.9.2 用户访问管理”条款理解与应用

文章来源:上海奔烁咨询  添加时间:2021/1/15
  “A.9.2 用户访问管理”
目的:确保授权用户对系统和服务的访问,并防止未授权的访问。
【标准条款】
A.9.2.1 用户注册和注销
应实现正式的用户注册及注销过程,以便可分配访问权。
【理解与应用】
用户ID的管理过程宜包括∶
(1)使用唯一用户ID,使得用户与其行为链接起来,并对其行为负责;在对于业务或操作而言必要时,才允许使用共享ID,并宜经过批准并形成文件;
(2)立即禁用或删除离开该用户的ID(见 A.9.2.6访问权的移除或调整);
(3)定期识别并删除或禁用冗余的用户ID;
(4)确保冗余的用户ID不会发给其他用户。
 
【标准条款】
A.9.2.2 用户访问供给
应对所有系统和服务的所有类型用户,实现一个正式的用户访问供给过程以分配或撤销访问权。
【理解与应用】
用于对用户 ID 访问权进行分配或撤销的供给过程宜包括∶
(1)针对信息系统或服务的使用,从系统或服务的拥有者那里获得授权(见 A.8.1.2资产的所属关系);从管理层那里就访问权获得单独批准可能也是合适的;
(2)验证所授予的访问程度是否与访问策略(见 A.9.1访问控制的业务要求)相适宜,是否与职责分离之类的其他要求相一致(见 A.6.1.2职责分离);
(3)确保授权规程完成之前,访问权未被激活(例如,没有被服务提供商所激活);
(4)维护一份集中式的访问权记录,记载所授予的用户ID要访问的信息系统或服务;
(5)调整已变更角色和工作的用户的访问权,并立即删除或阻断已离开组织的用户的访问权;
(6)定期与信息系统或服务的责任主体评审访问权(见 A.9.2.5用户访问权的评审).
 
【标准条款】
A.9.2. 3 特权访问权管理
应限制并控制特许访问权的分配和使用。
【理解与应用】
特定访问权的分配宜按照相关访问控制策略(见 A.9.1.1访问控制策略),通过正式的授权过程加以控制。宜考虑下列步骤∶
(1)识别与每个系统或过程(如操作系统、数据库管理系统、每个应用程序)相关的特许访问权,以及需要将其分配的用户;
(2)特许访问权宜按照访问控制策略(见 A.9.1.1访问控制策略)在"按需使用"和"一事一议"的基础上分配给用户,也就是基于职能角色的最低要求;
(3)宜维护授权过程和所有特权的分配记录。在该授权过程没有完成之前,特许访问权不宜进行分配;
(4)宜定义特许访问权到期的要求;
(5)特许访问权宜赋予一个用户ID,该用户ID不同于常规业务活动所使用的那些 ID. 常规业务活动不应根据这一所授的 ID 予以执行;
(6)宜定期评审具有特许访问权的用户的能力,以验证其是否符合其工作职责;(7)为了避免一般管理用户ID的未授权使用,宜根据系统配置能力,建立并维护一些特定的规程;
对于一般管理用户ID,当共享时,宜维护秘密鉴别信息的保密性(例如,频繁变更口令;当一个特定用户离开或变更工作时尽可能快地变更口令;特定用户之间要使用合适的机制进行沟通)。
 
【标准条款】
A.9.2.4 用户秘密鉴别信息管理
应通过正式的管理过程控制秘密鉴别信息的分配。
【理解与应用】
此过程宜包括下列要求∶
(1)要求用户签署一份声明,以保持个人秘密鉴别信息的保密性,并保持组秒训鉴别信息(当共享时)仪在该组成员范围内使用;签署的声明可包括在任用条款和*件中(见 A.7.1.2 任用条款和条件);
(2)若需要用户维护自己秘密鉴别信息,要在初始时提供给他们一个安全的临时秘密鉴别信息,并首次使用时强制改变;
(3)宜建立一些规程,以在提供一个新的、代替的或临时的秘密鉴别信息之前,验证用户身份;
(4)宜以安全的方式将临时秘密鉴别信息提供给用户;宜避免使用外部方或未受保护的(明文)电子邮件;
(5)临时秘密鉴别信息宜对个人而言是唯一的、不可猜测的;
(6)用户宜认可接受秘密鉴别信息;
(7)在系统或软件安装后,宜改变提供商的默认秘密鉴别信息。
 
【标准条款】
A.9.2.5 用户访问权的评审
资产拥有者应定期对用户的访问权进行评审。
【理解与应用】
访问权的评审宜考虑如下内容∶
(1)宜定期和在任何变更之后如升职、降职或任用终止(见 A.7人力资源安全)后对用户的访问权进行评审;
(2)当在同一个组织中变更角色时,宜评审和重新分配用户的访问权;
(3)对于特许访问权的授权宜以更频繁的时间间隔进行评审;
(4)宜定期核查特许访问权的分配,以确保不能获得未授权的特殊权限;
(5)具有特许访问权的帐户的变更宜在定期评审时记入日志。
 
【标准条款】
A.9.2.6 访问权的移除或调整
所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时,应予以移除,或在变更时予以调整。
【理解与应用】
任用终止时,宜移除或暂停个人对与信息处理设施和服务有关的信息和资产的访问权。这将决定移除访问权是否是必要的。任用的变更宜体现在不适用于新岗位的访问权的移除上。宜移除或改变的访问权包括物理和逻辑访问。移除或调整可通过移除、撤销或更换密钥、身份识别卡、信息处理设施或订阅的权限实现。任何标识雇员和合同方人员访问权的文件宜反映访问权的移除和调整。如果一个已离开的员工或外部用户知道仍然"存活"的用户ID的密码,则宜在任用、合同或协议终止或变更后改变这些口令。
对信息资产和信息处理设施的访问权在任用终止或变更前是否减少或移除,取决于对风险因素的评价,例如∶
(1)终止或变更是由员工、外部用户还是由管理者提出,以及终止的原因;
(2)员工、外部用户或任何其他用户的当前责任;
(3)当前可访问资产的价值。
您可能还想看
网站首页    |    ISO20000认证    |    ISO27001认证    |    ISO27000认证    |    行业知识    |    查询下载    |    认证证书    |    关于我们    |    联系方式