9.1訪問控制的業務要求

9.1訪問控制的業務要求

9.1.1訪問控制策略

控制
宜基于業務和信息安全要求，建立訪問控制策略，形成文件并進行評審。
實現指南
資產擁有者宜就其資產，為特定用戶角色確定適當的訪問控制規則、訪問權及限制，其詳細程度和控制的嚴格程度宜反映相關的信息安全風險。
訪問控制包括邏輯的和物理的（見第11章），且宜一并考慮。宜為用戶和服務提供商提供一份清晰的說明書，其中陳述了有該訪問控制所要滿足的業務要求。
該策略宜考慮到下列內容：
a) 業務應用的安全要求；
b) 信息傳播和授權的策略，例如，“按需所知”原則和信息安全級別以及信息分級的需要（見8.2）；
c) 系統和網絡的訪問權和信息分級策略之間的一致性；
d) 關于限制訪問數據或服務的相關法律和合同義務（見18.1）；
e) 在了解各種可用的連接類型的分布式和網絡化環境中，訪問權的管理；
f) 訪問控制角色的分離，例如訪問請求、訪問授權、訪問管理；
g) 訪問請求的正式授權要求（見9.2.1、9.2.2）；
h) 有關訪問權定期評審的要求（見9.2.5）；
i) 訪問權的取消（見9.2.6）；
j) 涉及用戶身份、秘密鑒別信息的使用和管理有關的所有重大事態的記錄的歸檔；
k) 具有特許訪問權的角色（見9.2.3）。
其他信息
在規定訪問控制規則時，宜認真考慮下列內容：
a) 在“未經明確允許，則一律禁止”的前提下建立規則，而不能在“未經明確禁止，一律允許”的弱規則的基礎上建立規則；
b) 信息處理設施自動啟動的信息標記變更和用戶自主啟動的信息標記變更（見8.2.2）；
c) 信息系統自動啟動的用戶許可變更和由管理員啟動的用戶許可變更；
d) 要求在頒發之前得到批準的規則，以及不要求在頒發之前得到批準的規則。
訪問控制規則宜通過正式的規程（見9.2、9.3、9.4）和已定義的責任（見6.1.1、9.3）來支持。
基于角色的訪問控制是一種被許多組織成功使用的來關聯業務角色和訪問權的方法。
指導訪問控制策略制定的兩個常用原則是：
a) “按需所知”原則：只允許訪問執行任務所需的信息（不同任務/角色意味著不同的“按需所知”，從而有不同的訪問配置）；

9.1.2網絡和網絡服務的訪問

控制
宜僅向用戶提供他們已獲專門授權使用的網絡和網絡服務的訪問。
實現指南
宜制定一個有關網絡和網絡服務使用的策略。該策略宜包括：
a) 允許被訪問的網絡和網絡服務；
b) 確定允許誰訪問哪些網絡和網絡服務的授權規程；
c) 保護訪問網絡連接和網絡服務的管理控制和規程；
d) 訪問網絡和網絡服務使用的手段（如使用VPN和無線網絡）；
e) 訪問各種網絡服務的用戶鑒別要求；
f) 監視網絡服務的使用。
有關網絡服務使用策略宜與組織訪問控制策略相一致（見9.1.1）。
其他信息