10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > “A.9.3 用户责任”条款理解与应用ISO27001:“A.9.3 用户责任”条款理解与应用
【标准条款】
A. 9.3 用户责任
目的:让用户承担保护其鉴别信息的责任。
A.9.3.1 秘密鉴别信息的使用
应要求用户遵循组织在使用秘密鉴别信息时的惯例。
【理解与应用】
宜建议所有用户∶
(1)保持秘密鉴别信息的保密性,确保其不被泄露至任何其他方,包括授权的人;
(2)避免保留秘密鉴别信息的记录(例如在纸上、软件文件中或手持设备中),除非可以对其进行安全地存储及存储方法得到批准(如口令库);
(3)一旦有迹象表明秘密鉴别信息可能受到损害时,就对其进行变更;
(4)当使用口令作为秘密鉴别信息时,宜选择具有最小长度的优质口令,这些口令∶
———易于记忆;
——不能基于别人容易猜测或获得的与使用人相关的信息,例如,名字、电话号码和生日,等等;
——不容易遭受字典攻击(即,不是由字典中的词所组成的);
——避免使用连续相同的,全数字的或全字母的字符。
——如果是临时的口令,在第一次登录时要修改。
(5)个人用户的秘密鉴别信息不要共享;
(6)当口令作为秘密鉴别信息在自动登录规程中使用和存储时,确保其得到适保护;
(7)业务用途和非业务用途使用不同的秘密鉴别信息。
想了解更多的关于ISO27001信息可以经常关注我们
【相关文章】
