7.8　賬號管理

7.8.1　一般要求

7.8.1.1　評估內容

詳見GB/T31168－2014中7.8.1的a）、b）、c）、d）、e）、f）、g）、h）和i）。

7.8.1.2　評估方法

7.8.1.2.1 對a）的評估方法為：

——檢查鑒別憑證管理策略與規程等相關文檔，查看其是否有指派賬號管理員的要求；

——訪談安全管理員等相關人員，詢問其是否存在賬號管理員。

7.8.1.2.2 對b）的評估方法為：

——檢查鑒別憑證管理策略與規程等相關文檔，查看其是否有標識賬號類型的要求；

——訪談賬號管理員等相關人員，詢問其賬號類型標識情況；

——檢查賬號類型列表，查看其是否對賬號類型進行標識。

7.8.1.2.3 對c）的評估方法為：

——檢查鑒別憑證管理策略與規程等相關文檔，查看其是否有建立成為組成員必需條件的要求；

——訪談賬號管理員等相關人員，詢問其建立成為組成員的必需條件；

7.8.1.2.4 對d）的評估方法為：

——檢查鑒別憑證管理策略與規程等相關文檔，查看其是否有標識信息系統的授權用戶、組及角色關系，并為每個賬號指定訪問權限和其他需要的屬性的要求；

——檢查信息系統的授權用戶、組及角色關系，查看其是否可以設置用戶的權限和其他屬性。

7.8.1.2.5 對e）的評估方法為：

——檢查標識與鑒別策略與規程，查看其是否定義了批準建立信息系統賬號的人員或角色，是否有建立信息系統賬號時需要相關人員或角色批準的要求；

——訪談賬號管理員等相關人員，詢問其信息系統賬號建立流程。

7.8.1.2.6 對f）的評估方法為：

——檢查標識與鑒別策略與規程，查看其是否包括建立、激活、修改、關閉和注銷賬號的內容。

7.8.1.2.7 對g）的評估方法為：

——檢查標識與鑒別策略與規程，查看其是否有對賬號的使用進行監視的內容；

——訪談賬號管理員等相關人員，詢問其賬號的使用監視情況。

7.8.1.2.8 對h）的評估方法為：

——檢查標識與鑒別策略與規程，查看其是否有當臨時賬號不再需要、用戶離職或調動和變更信息系統用途時，通報賬號管理員的要求；

——訪談賬號管理員：

1）當臨時賬號不再需要時，詢問其能否收到通知；

2）當用戶離職或調動時，詢問其能否收到通知；

3）當變更信息系統用途時，詢問其能否收到通知。

7.8.1.2.9 對 i）的評估方法為：

——檢查標識與鑒別策略與規程，查看其是否定義了檢查賬號的頻率；

——檢查賬號檢查記錄，查看其是否按照此頻率檢查賬戶是否符合賬號管理的要求；

——訪談賬號管理員等相關人員，詢問其定期檢查賬號是否符合賬號管理要求的情況。

7.8.2　增強要求

7.8.2.1　評估內容

詳見GB/T31168－2014中7.8.2的a）、b）、c）、d）和e）。

7.8.2.2　評估方法

7.8.2.2.1 對a）的評估方法為：

——檢查標識與鑒別策略與規程，查看其是否有采用自動方式管理賬號的要求；

——訪談賬號管理員等相關人員，詢問其是否建立自動管理賬號的相關機制。

7.8.2.2.2 對. b）的評估方法為：

——檢查標識與鑒別策略與規程，查看其是否定義了臨時和應急賬號的有效時間；

——檢查賬號自動管理機制，查看其是否可以在云服務商定義的時間段后自動刪除或禁用臨時和應急賬號。

7.8.2.2.3 對c）的評估方法為：

——檢查標識與鑒別策略與規程，查看其是否定義了非活躍賬號的有效時間；

——檢查賬號自動管理機制，查看其是否在云服務商定義的時間段后自動關閉非活躍賬號。

7.8.2.2.4 對d）的評估方法為：

——檢查標識與鑒別策略與規程，查看其是否定義了人員或角色；

——檢查自動審計日志，查看其是否能對賬號的建立、更改、禁用和終止行為進行自動審計；

——檢查自動審計機制，查看其是否將審計情況向云服務商定義的人員或角色進行通報；

——訪談云服務商所定義的人員和角色，詢問其通報情況。

7.8.2.2.5 對e）的評估方法為：

——檢查標識與鑒別策略與規程，查看其是否有根據基于角色的訪問方案建立和管理特權用戶賬號的要求，是否有對特權角色的分配進行跟蹤和監視的要求；

——檢查特權角色的跟蹤和監視記錄，查看其是否將信息系統的訪問及特權納入角色屬性。