ISO27001標(biāo)準(zhǔn)附錄 A.11.1 訪問控制的業(yè)務(wù)要求

ISO27001標(biāo)準(zhǔn)附錄 A.11.1.1 訪問控制策略

【內(nèi)容解析】

管理層應(yīng)制定并發(fā)布一份訪問控制策略文件,，訪問控制策略應(yīng)滿足組織對業(yè)務(wù)運行、法律法規(guī),、合同和其他特殊情況下的要求,。

訪問控制是信息安全的關(guān)鍵概念，組織應(yīng)十分關(guān)注訪問控制的運行,，并將當(dāng)前實施狀況與標(biāo)準(zhǔn)本條款的要求 進(jìn)行比較以改進(jìn)訪問安全,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.2 用戶訪問管理

【內(nèi)容解析】

組織信息處理設(shè)施的用戶應(yīng)按照訪問控制策略并結(jié)合相應(yīng)的方法加以鑒別和授權(quán)。

ISO27001標(biāo)準(zhǔn)附錄 A.11.2.1 用戶注冊

【內(nèi)容解析】

管理層應(yīng)依據(jù)訪問控制策略對需要訪問信息處理系統(tǒng)和應(yīng)用的用戶實施注冊和注銷賬戶的規(guī)程,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.2.2 特殊權(quán)限管理

【內(nèi)容解析】

特殊權(quán)限在信息安全中十分重要,，因為特權(quán)是基于信任，通常只授予管理層和特定人員,。特殊權(quán)限會給組織 的資產(chǎn)帶來安全風(fēng)險,，應(yīng)按照規(guī)定策略和指南嚴(yán)格控制其分配和使用。

在企業(yè)內(nèi)控方面可以借鑒最小特權(quán)原則,，即將訪問權(quán)限制在履行其職責(zé)所需的最低限度,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.2.3 用戶口令管理

【內(nèi)容解析】

口令是用來鑒別用戶身份的一組秘密字符串，用來控制對數(shù)據(jù),、系統(tǒng)和網(wǎng)絡(luò)的訪問,。口令管理是一個過程,，包含對口令策略（規(guī)則）和管理規(guī)程的定義,、實施和維護(hù)。有效的口令管理可降低對信息處理設(shè)施和信息的損害風(fēng)險,，保護(hù)口令的保密性,、完整性和可用性。

ISO27001標(biāo)準(zhǔn)附錄 A.11.2.4 用戶訪問權(quán)的復(fù)查

【內(nèi)容解析】

對訪問權(quán)應(yīng)由不負(fù)責(zé)建立賬戶的有資質(zhì)的人員進(jìn)行定期的復(fù)查,，以確?，F(xiàn)有的訪問權(quán)符合其角色和職責(zé)。

ISO27001標(biāo)準(zhǔn)附錄 A.11.3 用戶職責(zé) ISO27001標(biāo)準(zhǔn)附錄 A.11.3.1 口令使用

【內(nèi)容解析】

組織應(yīng)基于良好的口令實踐建立口令結(jié)構(gòu),，用戶要遵守組織的要求,，并建立良好的口令使用習(xí)慣。

ISO27001標(biāo)準(zhǔn)附錄 A.11.3.2 無人值守的用戶設(shè)備

【內(nèi)容解析】

當(dāng)信息處理設(shè)施和應(yīng)用系統(tǒng)處于無人值守時,，管理層應(yīng)有必要的措施確保無人值守的設(shè)備得到適當(dāng)?shù)谋Ｗo(hù),。如當(dāng)非工作時間，由值班人員對工作場所和設(shè)施進(jìn)行定期巡查等,。 

ISO27001標(biāo)準(zhǔn)附錄 A.11.3.3 清空桌面和屏幕策略

【內(nèi)容解析】

當(dāng)員工一段時間（如開會）不在工作區(qū)時,，他們的工作區(qū)域應(yīng)確保安全,，任何形式的敏感信息未被非授權(quán)訪問。對此組織應(yīng)規(guī)定相應(yīng)的策略或制度,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4 網(wǎng)絡(luò)訪問控制

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.1 使用網(wǎng)絡(luò)服務(wù)的策略

【內(nèi)容解析】

網(wǎng)絡(luò)連接,，特別是因特網(wǎng)和無線網(wǎng)連接，需要在信息處理環(huán)境中識別風(fēng)險,。管理層對使用網(wǎng)絡(luò)服務(wù)以及日常監(jiān)視網(wǎng)絡(luò)環(huán)境應(yīng)規(guī)定有明確的策略,，以確保用戶僅能訪問得到授權(quán)的服務(wù)。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.2 外部連接的用戶鑒別

【內(nèi)容解析】

應(yīng)采用安全的鑒別方式來控制遠(yuǎn)程用戶對信息處理設(shè)施的外部網(wǎng)絡(luò)連接,。常用的鑒別方法有：登錄時要求用戶名和口令,。但對重要的系統(tǒng)組織應(yīng)基于風(fēng)險考慮其他鑒別方式，如生物鑒別等,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.3 網(wǎng)絡(luò)上的設(shè)備標(biāo)識

【內(nèi)容解析】

適當(dāng)時,，對網(wǎng)絡(luò)上的設(shè)備進(jìn)行標(biāo)識，是鑒別來自一個特定受控環(huán)境和設(shè)備的網(wǎng)絡(luò)通訊的安全手段,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.4 遠(yuǎn)程診斷和配置端口的保護(hù)

【內(nèi)容解析】

對網(wǎng)絡(luò)和通信設(shè)備的診斷和遠(yuǎn)程端口,，組織應(yīng)嚴(yán)密控制，防止未授權(quán)的物理和邏輯訪問,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.5 網(wǎng)絡(luò)隔離

【內(nèi)容解析】

網(wǎng)絡(luò)服務(wù)是基于網(wǎng)絡(luò)的服務(wù),，包括因特網(wǎng)服務(wù)、內(nèi)部網(wǎng)絡(luò),、無線網(wǎng)絡(luò),、IP電話和視頻廣播等。在可能的情況下應(yīng)將網(wǎng)絡(luò)服務(wù)在邏輯網(wǎng)絡(luò)中進(jìn)行隔離,，以增強控制的深度,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.6 網(wǎng)絡(luò)連接控制

【內(nèi)容解析】

網(wǎng)絡(luò)擴(kuò)展到組織的邊界之外通常是為了便利與外部第三方供應(yīng)商或外部商業(yè)合作伙伴開展業(yè)務(wù)活動。從信息安全的角度,，對這種網(wǎng)絡(luò)連接控制是一種挑戰(zhàn),，而且常被忽略，因為供應(yīng)商和業(yè)務(wù)伙伴在使用組織網(wǎng)絡(luò)時是受信的,。所以組織應(yīng)實施控制措施來限制用戶的連接能力和對網(wǎng)絡(luò)的訪問能力,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.4.7 網(wǎng)絡(luò)路由控制

【內(nèi)容解析】

網(wǎng)絡(luò)路由的邏輯控制對數(shù)據(jù)和信息流的控制十分關(guān)鍵。網(wǎng)絡(luò)路由的控制應(yīng)與對特定應(yīng)用和服務(wù)的訪問控制相結(jié)合,。網(wǎng)絡(luò)路由控制通常需要在IT部門選擇具有相關(guān)知識的人員來設(shè)計和實施本項所要求的控制措施,，并最好經(jīng)過相關(guān)專家的確認(rèn)。

ISO27001標(biāo)準(zhǔn)附錄 A.11.5 操作系統(tǒng)訪問控制

ISO27001標(biāo)準(zhǔn)附錄 A.11.5.1 安全登錄規(guī)程

【內(nèi)容解析】

操作系統(tǒng)的訪問應(yīng)通過安全設(shè)計的登錄和鑒別規(guī)程來加以保護(hù),，將未授權(quán)訪問的機會降低到最小,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.5.2 用戶標(biāo)識和鑒別

【內(nèi)容解析】

對組織信息處理系統(tǒng)訪問的用戶應(yīng)有唯一的用戶賬戶,，并在允許其訪問系統(tǒng)前采用安全的方式來確認(rèn)用戶的身份,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.5.3 口令管理系統(tǒng)

【內(nèi)容解析】

應(yīng)采用系統(tǒng)來管理口令并強制實施口令策略,。口令管理系統(tǒng)通常與網(wǎng)絡(luò)相關(guān)聯(lián),，但也可應(yīng)用于應(yīng)用系統(tǒng)和數(shù)據(jù)庫,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.5.4 系統(tǒng)實用工具的使用

【內(nèi)容解析】

對于超越系統(tǒng)控制的實用工具應(yīng)限制安裝，如需安裝使用,，其使用權(quán)限應(yīng)僅限于指定的管理員,。

對實用工具的使用應(yīng)加以監(jiān)視并保留記錄。

ISO27001標(biāo)準(zhǔn)附錄 A.11.5.5 會話超時

【內(nèi)容解析】

操作系統(tǒng)和終端在預(yù)定的時間段內(nèi),，如會話沒有活動應(yīng)自動加鎖,，以防止未授權(quán)訪問。

ISO27001標(biāo)準(zhǔn)附錄 A.11.5.6 聯(lián)機時間的限定

【內(nèi)容解析】

對識別為高風(fēng)險的應(yīng)用系統(tǒng),，在聯(lián)機時間上要有限制,，超過約定聯(lián)機時間應(yīng)加鎖或斷開聯(lián)機。 

ISO27001標(biāo)準(zhǔn)附錄 A.11.6 應(yīng)用和信息訪問控制

ISO27001標(biāo)準(zhǔn)附錄 A.11.6.1 信息訪問限制

【內(nèi)容解析】

應(yīng)用系統(tǒng)具有儲存和處理關(guān)鍵,、敏感信息和數(shù)據(jù)的能力,。組織對這類數(shù)據(jù)和信息應(yīng)依照已確定的訪問控制策 略采取保護(hù)性的控制措施（例如，限制訪問權(quán)限,，包括讀,、寫、刪除等）,，以防止未授權(quán)的訪問及信息損毀,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.6.2 敏感系統(tǒng)隔離

【內(nèi)容解析】

如果識別為高敏感性的應(yīng)用系統(tǒng)，應(yīng)加以隔離,、嚴(yán)密控制并監(jiān)視,。同時對信息處理系統(tǒng)或應(yīng)用系統(tǒng)的責(zé)任人，也應(yīng)有相應(yīng)的隔離要求,。

ISO27001標(biāo)準(zhǔn)附錄 A.11.7 移動計算和遠(yuǎn)程工作

ISO27001標(biāo)準(zhǔn)附錄 A.11.7.1 移動計算和通信

【內(nèi)容解析】

移動計算是指可改變位置的計算裝置,，通常包括便攜式計算機（WearableComputer）、PDISO27001標(biāo)準(zhǔn)附錄A.3.3,。

移動計算的使用,，因為處在受控的網(wǎng)絡(luò)環(huán)境之外，所以是組織面臨的特殊風(fēng)險,。需要組織策劃相應(yīng)的控制措施,。 

ISO27001標(biāo)準(zhǔn)附錄 A.11.7.2 遠(yuǎn)程工作

【內(nèi)容解析】

遠(yuǎn)程工作是指利用信息通信技術(shù)（ICT）使工作能在遠(yuǎn)離工作結(jié)果產(chǎn)生的地點進(jìn)行，例如,，居家遠(yuǎn)程工作（Home-basedtelework）,。

遠(yuǎn)程工作者需要訪問組織的資源，包括內(nèi)部應(yīng)用系統(tǒng)和信息,。所以組織應(yīng)明確遠(yuǎn)程工作策略,，并針對從外部訪問組織資源的相關(guān)風(fēng)險,，開發(fā)和實施特定的控制和防護(hù)措施。