9.2用戶訪問管理

9.2用戶訪問管理

9.2.1用戶注冊和注銷

控制
宜實現正式的用戶注冊及注銷過程，以便可分配訪問權。
實現指南
用戶ID的管理過程宜包括：
a) 使用唯一用戶ID，使得用戶與其行為鏈接起來，并對其行為負責；在對于業務或操作而言必要時，才允許使用共享ID，并宜經過批準并形成文件；
b) 立即禁用或刪除離開該用戶的ID（見9.2.6）；
c) 定期識別并刪除或禁用冗余的用戶ID；
d) 確保冗余的用戶ID不會發給其他用戶。
其他信息
提供或撤銷對信息或信息處理設備的訪問，通常采用以下兩步規程：
a) 分配和啟用或撤銷用戶ID；

9.2.2用戶訪問供給

控制
宜對所有系統和服務的所有類型用戶，實現一個正式的用戶訪問供給過程以分配或撤銷訪問權。
實現指南
用于對用戶ID訪問權進行分配或撤銷的供給過程宜包括：
a) 針對信息系統或服務的使用，從系統或服務的擁有者那里獲得授權（見8.1.2）；從管理層那里就訪問權獲得單獨批準可能也是合適的
b) 驗證所授予的訪問程度是否與訪問策略（見9.1）相適宜，是否與職責分離之類的其他要求相一致（見6.1.2）；
c) 確保授權規程完成之前，訪問權未被激活（例如，沒有被服務提供商所激活）；
d) 維護一份集中式的訪問權記錄，記載所授予的用戶ID要訪問的信息系統或服務；
e) 調整已變更角色和工作的用戶的訪問權，并立即刪除或阻斷已離開組織的用戶的訪問權；
f) 定期與信息系統或服務的責任主體評審訪問權（見9.2.5）。
其他信息
宜考慮基于業務要求建立用戶訪問角色，以此把一些訪問權概括到一些典型的用戶訪問輪廓中。在角色層面上比在特殊權限層面上，更容易對訪問請求和評審（見9.2.4）進行管理。

9.2.3特許訪問權管理

控制
宜限制并控制特許訪問權的分配和使用。
實現指南
特許訪問權的分配宜按照相關訪問控制策略（見9.1.1），通過正式的授權過程加以控制。宜考慮下列步驟：
a) 識別與每個系統或過程（如操作系統、數據庫管理系統、每個應用程序）相關的特許訪問權，，以及需要將其分配的用戶；
b) 特許訪問權宜按照訪問控制策略（見9.1.1）在“按需使用”和“一事一議”的基礎上分配給用戶，也就是基于職能角色的最低要求；
c) 宜維護授權過程和所有特權的分配記錄。在該授權過程沒有完成之前，特許訪問權不宜進行分配；。
d) 宜定義特許訪問權到期的要求；
e) 特許訪問權宜賦予一個用戶ID－該用戶ID不同于常規業務活動所使用的那些ID．常規業務活動不應根據這一所授的ID予以執行；
f) 宜定期評審具有特許訪問權的用戶的能力，以驗證其是否符合其工作職責；
g) 為了避免一般管理用戶ID的未授權使用，宜根據系統配置能力，建立并維護一些特定的規程；
h) 對于一般管理用戶ID，當共享時，宜維護秘密鑒別信息的保密性（例如，頻繁變更口令；當一個特定用戶離開或變更工作時盡可能快地變更口令；特定用戶之間要使用合適的機制進行溝通）。
其他信息

9.2.4用戶的秘密鑒別信息管理

控制
宜通過正式的管理過程控制秘密鑒別信息的分配。
實現指南
此過程宜包括下列要求：
a) 要求用戶簽署一份聲明，以保持個人秘密鑒別信息的保密性，并保持組秘密鑒別信息（當共享時）僅在該組成員范圍內使用；簽署的聲明可包括在任用條款和條件中（見7.1.2）；
b) 若需要用戶維護自己秘密鑒別信息，要在初始時提供給他們一個安全的臨時秘密鑒別信息，并首次使用時強制改變；
c) 宜建立一些規程，以在提供一個新的、代替的或臨時的秘密鑒別信息之前，驗證用戶身份；
d) 宜以安全的方式將臨時秘密鑒別信息提供給用戶；宜避免使用外部方或未受保護的（明文）電子郵件；
e) 臨時秘密鑒別信息宜對個人而言是唯一的、不可猜測的；
f) 用戶宜認可接受秘密鑒別信息；
g) 在系統或軟件安裝后，宜改變提供商的默認秘密鑒別信息。
其他信息

9.2.5用戶訪問權的評審

控制
資產擁有者宜定期對用戶的訪問權進行評審。
實現指南
訪問權的評審宜考慮下列指南：
a) 宜定期和在任何變更之后如升職、降職或任用終止（見第7章）后對用戶的訪問權進行評審；
b) 當在同一個組織中變更角色時，宜評審和重新分配用戶的訪問權；
c) 對于特許訪問權的授權宜以更頻繁的時間間隔進行評審；
d) 宜定期核查特許訪問權的分配，以確保不能獲得未授權的特殊權限；
e) 具有特許訪問權的帳戶的變更宜在定期評審時記入日志。
其他信息

9.2.6訪問權的移除或調整

控制
所有員工和外部用戶對信息和信息處理設施的訪問權在任用、合同或協議終止時，宜予以移除，或在變更時予以調整。
實現指南
任用終止時，宜移除或暫停個人對與信息處理設施和服務有關的信息和資產的訪問權。這將決定移除訪問權是否是必要的。任用的變更宜體現在不適用于新崗位的訪問權的移除上。宜移除或改變的訪問權包括物理和邏輯訪問。移除或調整可通過移除、撤銷或更換密鑰、身份識別卡、信息處理設施或訂閱的權限實現。任何標識雇員和合同方人員訪問權的文件宜反映訪問權的移除和調整。如果一個已離開的員工或外部用戶知道仍然“存活”的用戶ID的密碼，則宜在任用、合同或協議終止或變更后改變這些口令。
對信息資產和信息處理設施的訪問權在任用終止或變更前是否減少或移除，取決于對風險因素的評價，例如：
a) 終止或變更是由員工、外部用戶還是由管理者提出，以及終止的原因；
b) 員工、外部用戶或任何其他用戶的當前責任；
c) 當前可訪問資產的價值。
其他信息
在某些情況下，訪問權的分配可基于是否可用于多人，例如組ID，而不是基于離開的員工或外部用戶。在這種情況下，離開的人員宜從組訪問列表中中移除，并宜做安排，以建議所有相關的其他員工和外部用戶不宜再與已離開的人員共享信息。