ISO27001认证_怎样了解“A.9.4 体系和使用拜访控制”条款?
添加工夫:2021/1/14 录入:黑龙江华道 泉源:黑龙江华道
A.9.4 体系和使用拜访控制
目标:避免对体系和使用的未受权拜访。
【尺度条款】
A.9.4.1 信息拜访限定
应依照拜访控制战略限定对信息和使用体系功效的拜访。
【了解与使用】
对拜访的限定宜基于各个商业使用要求,并切合已订定的构造控制拜访战略。
为支持拜访限定要求,宜思索使用以下指南∶
(1)提供控制拜访使用体系功效的选择菜单;
(2)控制特定用户可拜访的数据;
(3)控制用户的拜访权,如读、写、删除和实行;
(4)控制其他使用的拜访权;
(5)限定输入中包括的信息;
(6)提供物理或逻辑拜访控制以断绝敏感到用步伐、使用数据或体系。
【尺度条款】
A. 9.4.2 宁静登录规程
当拜访控制战略要求时,应经过宁静登录规程控制对体系和使用的拜访。
【了解与使用】
宜选择得当的身份辨别技能以证明用户宣称的身份。
在必要强认证和身份验证时,宜利用如暗码手腕、智能卡、令牌或生物特性辨认办法等替换口令的辨别办法。
登录体系或使用的规程宜设计成可使未受权拜访的时机最小化。因而,登录规程宜公然最少的、与体系或使用有关的信息,以制止给未受权用户提供任何不用要的协助。精良的登录规程宜∶
(1)不表现体系或使用标识符,直到登录历程已乐成完成为止;
(2)表现一样平常性的警示告示,只要已受权的用户才干拜访盘算机;
(3)在登录规程实行时期,不提供对未受权用户有协助作用的协助音讯;
(4)仅在一切输出数据完成时才验证登录信息。假如呈现一个不对条件,体系不宜指出数据的哪一局部是准确的或不准确的;
(5)避免暴力破解登录实验;
(6)记载不可功的实验和乐成的实验;
(7)当检测到一个潜伏的或曾经乐成的登录控制违规时,则发生一个宁静局势;
(8)在乐成登录完成时,表现下列信息∶
——之前乐成登录的日期和工夫;
——前次乐成登录后的任何不可功登录实验的细节;
(9)不表现正在输出的口令;
(10)不在网络上以明文传输口令;
(11)在设定的不运动的工夫段后,停止不运动会话,尤其在高危害地区,比方大众地区、构造宁静办理外的地区或挪动设置装备摆设地区;
(12)限定毗连次数,为高危害的使用步伐提供分外的掩护并增加未受权拜访的时机。
【尺度条款】
A. 9.4.3 口令办理体系
口令办理体系应是交互式的,并应确保优质的口令。
【了解与使用】
一个口令办理体系宜∶
(1)强迫利用团体用户 ID和口令,以维护可核对性;
(2)容许用户选择和变动他们本人的口令,而且包罗一个确认规程,以便容许输出堕落的状况;
(3)强迫选择优质口令;
(4)在第一次登录时强迫用户变动口令;
(5)强迫活期和依据必要变动口令;
(6)维护曩昔利用过的口令的记载,并避免反复利用;
(7)输出口令时,不在屏幕上表现;
(8)离开存储口令文件和使用体系数据;
(9)以受掩护的方法,存储和传输口令。
【尺度条款】
A.9.4.4 特权适用步伐的利用
关于大概逾越体系和使用控制的适用步伐的利用应予以限定并严厉控制。
【了解与使用】
利用大概逾越体系和使用的控制的适用步伐,宜思索下列内容∶
(1)对适用步伐利用标识、辨别和受权规程;
(2)将适用步伐与使用软件离开;
(3)将利用适用步伐的用户限定到可信的、已受权的最小实践用户数(见 A.9.2.3 特许拜访权办理);
(4)对适用步伐的暂时利用举行受权;
(5)限定适用步伐的可用性,比方,在受权变动的时期内;
(6)记载适用步伐的一切利用;
(7)对适用步伐的受权级别举行界说并构成文件;
(8)移除或禁用一切不用要的适用步伐;
(9)当要求职责分散时,克制拜访体系中使用步伐的用户利用适用步伐。
【尺度条款】
A.9.4.5 步伐源代码的拜访控制
应限定对步伐源代码的拜访。
【了解与使用】
对步伐源代码和相干内容(比方设计、阐明书、验证方案和确认方案)的拜访宜严厉控制,以防引入非受权功效,制止偶然的变动,并维护有代价的知识产权的失密性。关于步伐源代码的保管,可以经过这种代码的受控的会合存储来完成,更好地是放在源步伐库中。为了控制对源步伐库的拜访以增加潜伏的盘算机步伐的毁坏,宜思索如下内容∶
(1)如有大概,在运转体系中不宜保存源步伐库;
(2)步伐源代码和源步伐库宜依据订定的规程举行办理;
(3)宜限定支持职员拜访源步伐库;
(4)更新源步伐库和有关内容,向步伐员公布步伐源码宜在取得得当的受权之落伍行;
(5)步伐列表宜保管在宁静的情况中;
(6)宜维护对源步伐库一切拜访的审计日记;
(7)维护和拷贝源步伐库宜受严厉变动控制规程的制约(见A.14.2.2体系变动控制规程)。
如需公布源代码,宜思索接纳掩护其完备性的分外的控制(如数字署名)。
【前往 】