服务项目

ISO27000认证：“A.9.1 访问控制的业务要求”条款理解与应用

文章录入：华道众合文章来源：华道众合添加时间：2021-1-22

A.9.1 访问控制的业务要求
目的∶限制对信息和信息处理设施的访问。

【标准条款】

A.9.1.1 访问控制策略

应基于业务和信息安全要求，建立访问控制策略，形成文件并进行评审。

【理解与应用】

资产责任主体宜就其资产，为特定用户角色确定适当的访问控制规则、访问权及限制，其详细程度和控制的严格程度宜反映相关的信息安全风险。

访问控制包括逻辑的和物理的（见 A.11物理和环境安全），且宜一并考虑。宜为用户和服务提供商提供一份清晰的说明书，其中陈述了有该访问控制所要满足的业务要求。

该策略宜考虑到下列内容∶

（1）业务应用的安全要求;

（2）信息传播和授权的策略，例如，"按需所知"原则和信息安全级别以及信息分级的需要（见 A.8.2 信息分级）;

（3）系统和网络的访问权和信息分级策略之间的一致性;

（4）关于限制访问数据或服务的相关法律和合同义务（见 A.18.1符合法律和合同要求）;

（5）在了解各种可用的连接类型的分布式和网络化环境中，访问权的管理;

（6）访问控制角色的分离，例如访问请求、访问授权、访问管理;

（7）访问请求的正式授权要求（见 A.9.2.1用户注册和注销、A.9.2.2用户访问供给）;

（8）有关访问权定期评审的要求（见 A.9.2.5 用户访问权的评审）;

（9）访问权的取消（见 A.9.2.6访问权的移除或调整）;

（10）涉及用户身份、秘密鉴别信息的使用和管理有关的所有重大事态的记录的归档;

（11）具有特许访问权的角色（见 A.9.2.3特许访问权管理）。

【标准条款】

A.9.1.2 网络和网络服务的访问

应仅向用户提供他们已获专门授权使用的网络和网络服务的访问。

【理解与应用】

宜制定一个有关网络和网络服务使用的策略。该策略宜包括∶

（1）允许被访问的网络和网络服务;

（2）确定允许谁访问哪些网络和网络服务的授权规程;

（3）保护访问网络连接和网络服务的管理控制和规程;

（4）访问网络和网络服务使用的手段（如使用VPN和无线网络）;

（5）访问各种网络服务的用户鉴别要求;

（6）监视网络服务的使用。

有关网络服务使用策略宜与组织访问控制策略相一致（见 A.9.1.1访问控制策略）。

想了解更多的关于ISO27000认证信息可以经常关注我们

【相关文章】