新闻中心
最新动态
热点文章
首页 > 新闻中心 > 行业知识 > 信息安全管理体系认证标准对访问控制策略有何要求?
信息安全管理体系认证:信息安全管理体系认证标准对访问控制策略有何要求?
iso27000标准要求应在访问控制策略中清晰地规定每个用户或每组用户的访问控制规则和权利。访问控制包括逻辑的和物理的,它们应一起考虑。应给用户和服务提供商提供一份清晰的满足业务要求的说明。
策略应考虑到下列内容:
1.每个业务应用的安全要求
2.与业务应用相关的所有信息的标识和信息面临的风险
3.信息传播和授权的策略,例如,了解原则和安全等级以及信息分类的需求
4.不同系统和网络的访问控制策略和信息分类策略之间的一致性
5.关于保护访问数据或服务的相关法律和合同义务
6.组织内常见工作角色的标准用户访问轮廓
7.在认可各种可用的连接类型的分布式和网络化环境中的访问权的管理
8.访问控制要求的正式授权要求
9.访问控制的定期评审要求
10.访问权的取消
策略应考虑到下列内容:
1.每个业务应用的安全要求
2.与业务应用相关的所有信息的标识和信息面临的风险
3.信息传播和授权的策略,例如,了解原则和安全等级以及信息分类的需求
4.不同系统和网络的访问控制策略和信息分类策略之间的一致性
5.关于保护访问数据或服务的相关法律和合同义务
6.组织内常见工作角色的标准用户访问轮廓
7.在认可各种可用的连接类型的分布式和网络化环境中的访问权的管理
8.访问控制要求的正式授权要求
9.访问控制的定期评审要求
10.访问权的取消
想了解更多的关于信息安全管理体系认证信息可以经常关注我们
【相关文章】