专业专注 iso27001认证 iso27000认证 信息技术服务管理体系认证 信息安全管理体系认证   设为首页   加入收藏   联系方式   网站地图
服务项目
您现在的位置:网站首页 > ISO27001知识ISO27001知识

“A.9.1 访问控制的业务要求”条款理解与应用

    “A.9.1 访问控制的业务要求”
目的∶限制对信息和信息处理设施的访问。
【标准条款】
A.9.1.1 访问控制策略
应基于业务和信息安全要求,建立访问控制策略,形成文件并进行评审。
【理解与应用】
资产责任主体宜就其资产,为特定用户角色确定适当的访问控制规则、访问权及限制,其详细程度和控制的严格程度宜反映相关的信息安全风险。
访问控制包括逻辑的和物理的(见 A.11物理和环境安全),且宜一并考虑。宜为用户和服务提供商提供一份清晰的说明书,其中陈述了有该访问控制所要满足的业务要求。
该策略宜考虑到下列内容∶
(1)业务应用的安全要求;
(2)信息传播和授权的策略,例如,"按需所知"原则和信息安全级别以及信息分级的需要(见 A.8.2 信息分级);
(3)系统和网络的访问权和信息分级策略之间的一致性;
(4)关于限制访问数据或服务的相关法律和合同义务(见 A.18.1符合法律和合同要求);
(5)在了解各种可用的连接类型的分布式和网络化环境中,访问权的管理;
(6)访问控制角色的分离,例如访问请求、访问授权、访问管理;
(7)访问请求的正式授权要求(见 A.9.2.1用户注册和注销、A.9.2.2用户访问供给);
(8)有关访问权定期评审的要求(见 A.9.2.5 用户访问权的评审);
(9)访问权的取消(见 A.9.2.6访问权的移除或调整);
(10)涉及用户身份、秘密鉴别信息的使用和管理有关的所有重大事态的记录的归档;
(11)具有特许访问权的角色(见 A.9.2.3特许访问权管理)。
 
【标准条款】
A.9.1.2 网络和网络服务的访问
应仅向用户提供他们已获专门授权使用的网络和网络服务的访问。
【理解与应用】
宜制定一个有关网络和网络服务使用的策略。该策略宜包括∶
(1)允许被访问的网络和网络服务;
(2)确定允许谁访问哪些网络和网络服务的授权规程;
(3)保护访问网络连接和网络服务的管理控制和规程;
(4)访问网络和网络服务使用的手段(如使用VPN和无线网络);
(5)访问各种网络服务的用户鉴别要求;
(6)监视网络服务的使用。
有关网络服务使用策略宜与组织访问控制策略相一致(见 A.9.1.1访问控制策略)。

返回

      奔烁(上海)机电技术服务有限公司    全国服务电话:4006-010-725   网站地图
 北京:海淀区西三环昌运宫紫竹桥          电话|微信:136-8120-0268       QQ:2970890153
 上海:闵行区虹梅南路1755号               电话|微信:152-2175-9315       QQ:2215501312
  青岛:市南区中山路10号                      电话|微信:137-9194-1216       QQ:1263118282
 杭州:西湖区文三路508号天苑大厦        电话|微信:158-6716-8335       QQ:2668763939
  西安:未央区未央路80号                      电话|微信:139-0928-9277       QQ:3568192523

服务项目:iso27001认证 信息技术服务管理体系认证 iso27000认证 信息安全管理体系认证