<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 20274.3—2008信息安全技術 信息系統安全保障評估框架 第3部分:管理保障
    展開或關閉
    前 言
    前言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 本標準的結構
    本標準的結構
    5 信息安全管理保障框架
    5.1 信息管理保障概述 5.2 信息安全管理保障控制 5.3 信息安全保障管理能力級
    6 信息安全管理保障控制類結構
    6.1 概述 6.2 管理保障控制類結構 6.3 管理保障控制子類結構 6.4 管理保障控制組件結構 6.5 允許的操作
    7 MOA管理保障控制類:信息安全組織體系
    7.1 內部組織結構(MOA_IOA) 7.2 外部組織結構(MOA_OOA)
    8 MSP管理保障控制類:信息安全策略體系
    8.1 信息安全策略體系(MSP_SPL)
    9 MPS管理保障控制類:人員安全
    9.1 人員安全策略和流程(MPS_PPP) 9.2 人員聘用前的管理(MPS_PEM) 9.3 人員聘用時的管理(MPS_DEM) 9.4 人員聘用終止和人事變更時的管理(MPS_TEM) 9.5 安全意識、培訓和教育(MPS_ATE)
    10 MPH管理保障控制類:物理和環境安全
    10.1 物理和環境安全策略和流程(MPH_PPP) 10.2 物理安全區域管理(MPH_PSA) 10.3 物理設施安全(MPH_PFS)
    11 MCP管理保障控制類:符合性管理
    11.1 符合性管理策略和流程(MCP_PPP) 11.2 法律符合性(MCP_LCP) 11.3 安全策略、標準和技術符合性(MCP_PSP)
    12 MAS管理保障控制類:資產管理
    12.1 資產管理策略和流程(MAS_PPP) 12.2 資產管理的職責(MAS_AMR) 12.3 信息和資產的分類(MAS_IAC)
    13 MSR管理保障控制類:風險管理
    13.1 風險管理策略和流程(MSR_PPP) 13.2 風險管理過程(MSR_RMP)
    14 MBP管理保障控制類:業務持續性和災難恢復管理
    14.1 業務持續性和災難恢復管理策略和流程(MBP_PPP) 14.2 業務持續性和災難恢復管理的信息安全考慮(MBP_BIS)
    15 MIR管理保障控制類:事故響應管理
    15.1 事故響應管理策略和流程(MIR_PPP) 15.2 事故響應管理(MIR_IRM)
    16 MIP管理保障控制類:信息安全規劃管理
    16.1 信息安全規劃管理策略和流程(MIP_PPP) 16.2 信息技術規劃(MIP_ITP) 16.3 信息系統安全保障計劃(MIP_ISP)
    17 MIB管理保障控制類:投資和預算管理
    17.1 投資和預算管理策略和流程(MIB_PPP) 17.2 投資和預算管理(MIB_IBM)
    18 MAD管理保障控制類:系統開發與維護管理
    18.1 系統開發與維護管理策略和流程(MAD_PPP) 18.2 信息系統的安全要求(MAD_SRQ) 18.3 系統的開發和支持過程管理(MAD_DSS) 18.4 應用處理的管理(MAD_APM) 18.5 密碼控制(MAD_CRY) 18.6 系統文件管理(MAD_ADM) 18.7 系統維護管理(MAD_SMM) 18.8 技術漏洞管理(MAD_TVM)
    19 MCO管理保障控制類:信息和通信技術運行管理
    19.1 信息和通信技術運行管理策略和流程(MCO_PPP) 19.2 運行流程和職責管理(MCO_PRM) 19.3 第三方服務提供管理(MCO_TSM) 19.4 邏輯訪問控制管理(MCO_LAC) 19.5 審計和監控管理(MCO_AMM) 19.6 惡意和移動代碼的防護(MCO_MMC) 19.7 備份(MCO_BUP) 19.8 網絡安全管理(MCO_NSM) 19.9 介質管理(MCO_MEM) 19.10 信息交換(MCO_IEX)
    20 MCC管理保障控制類:安全評估、認證和認可
    20.1 安全評估、認證和認可策略和流程(MCC_PPP) 20.2 安全評估、認證和認可(MCC_ECC)
    21 安全管理能力級說明
    21.1 概述 21.2 安全管理能力級別說明 21.3 信息系統安全保障管理能力級別應用
    參考文獻
    參考文獻

    19.4 邏輯訪問控制管理(MCO_LAC)

    GB/T 20274.3—2008信息安全技術 信息系統安全保障評估框架 第3部分:管理保障 /

    19.4.1 安全保障管理目的

    組織機構應基于業務和安全要求來控制對信息、信息處理設施和業務過程的訪問。訪問控制規則應參照信息分發和授權的策略。

    19.4.2 MCO_LAC.1 訪問控制策略

    19.4.2.1 管理保障控制組件控制

    組織機構應基于業務和安全要求來建立、文檔化訪問控制策略并審核此策略。

    19.4.2.2 管理保障控制組件注解

    訪問控制策略應清晰地描述每個用戶或用戶組的訪問控制規則和訪問權限。訪問控制規則應從邏輯訪問和物理訪問兩方面考慮。
    制定策略時應考慮下面內容:
    a) 個別業務應用的安全要求;
    b) 識別所有涉及到業務應用和信息風險的信息;
    c) 信息分發和授權的策略;
    d) 訪問控制與不同信息系統的信息分類策略間一致性問題;
    e) 數據訪問保護方面的相關法律和合同義務;
    f) 組織機構中普通工作崗位的用戶訪問要求;
    g) 在分布式網絡環境下所有可用連接的訪問權限管理;
    h) 訪問控制角色的隔離,例如,存取要求、存取權限和存取管理;
    i) 正式授權訪問請求的要求;
    j) 定期審核訪問控制的要求;

    19.4.3 MCO_LAC.2 用戶訪問管理

    19.4.3.1 管理保障控制組件控制

    組織機構應確保只有授權用戶才能訪問信息系統,禁止未授權訪問。

    19.4.3.2 管理保障控制組件注解

    組織機構應建立正式的信息系統訪問權限分配流程。

    19.4.4 MCO_LAC.3 用戶注冊

    19.4.4.1 管理保障控制組件控制

    在訪問所有信息系統和服務時都應該有一個正式的用戶注冊和取消注冊流程。

    19.4.4.2 管理保障控制組件注解

    用戶注冊和取消注冊的訪問控制流程應包括:
    a) 使用唯一的用戶帳號使得能夠用戶能被聯系到,并能對自己的行為負責;只有由于業務和運行的需要才使用用戶組帳號,用戶組帳號應得到批準并記錄在案;
    b) 驗證用戶是否從系統擁有者獲得使用信息系統的授權;也可以從管理部門獲得訪問權限;
    c) 驗證授予的訪問權限是否符合業務目標的要求和組織機構的安全策略;
    d) 給用戶一個手寫的訪問權限聲明;
    e) 要求用戶簽署聲明,表明他們已經理解了訪問的限制條件;
    f) 服務提供商只有完成了授權流程,才能提供用戶對系統訪問;
    g) 維護一個注冊使用服務的人員記錄;
    h) 如果用戶角色或用戶工作崗位發生變化,或用戶離開組織機構,應立即刪除或鎖定用戶訪問權限;
    i) 定期檢查冗余的用戶ID和用戶帳號,并刪除或鎖定冗余信息;
    j) 確保其他用戶不知道冗余的用戶ID。

    19.4.5 MCO_LAC.4 網絡訪問控制

    19.4.5.1 管理保障控制組件控制

    組織機構應制定網絡訪問控制策略,采用網絡隔離、強制路徑、用戶身份鑒別等手段加強網絡訪問控制。

    19.4.5.2 管理保障控制組件注解

    網絡控制策略應包括在訪問控制策略中;應根據網絡服務的安全要求,對網絡的互聯程度進行控制;識別需要強制控制的路徑,據此來限制網絡內每個節點的路由選擇。采用身份鑒別技術來鑒別遠程用戶對系統的訪問,例如口令。采用網點身份鑒別技術鑒別與遠程計算機系統相連的設施。確保每次使用端口前先經過授權,并記錄使用情況。采用高級防火墻等硬件或軟件設備進行路由控制。網絡系統安全管理員應按照明確規定的網絡服務安全屬性值進行參數配置和維護管理,如防火墻配置清單。

    19.4.6 MCO_LAC.5 操作系統訪問控制

    19.4.6.1 管理保障控制組件控制

    組織機構應選擇安全性較高的操作系統,并對操作系統進行合理配置,保證其訪問控制能力。

    19.4.6.2 管理保障控制組件注解

    組織機構應識別和驗證用戶身份,記錄訪問情況,通過口令管理系統確保高質量口令,并限制用戶訪問時間。

    19.4.7 MCO_LAC.6 應用和信息訪問控制

    19.4.7.1 管理保障控制組件控制

    敏感系統應有專用的或隔離的計算機環境。

    19.4.7.2 管理保障控制組件注解

    敏感系統應運行在專用的或隔離的計算機環境中,可采用物理隔離(專用的運行環境或獨立網絡)或邏輯隔離的方式來實現隔離。
    應考慮對應用系統的訪問限制要求,實現如下控制:
    a) 應用系統應提供訪問控制功能菜單。
    b) 應限制用戶對無權訪問的信息和系統功能的了解。
    c) 應控制用戶訪問權,例如,限制讀、寫、刪除以及執行權限
    組織機構應確保處理敏感信息的應用系統輸出僅包含與輸出使用有關的信息,并且僅僅發送到授權的終端。

    19.4.8 MCO_LAC.7 移動計算和遠程辦公訪問控制

    19.4.8.1 管理保障控制組件控制

    組織機構應制定恰當的移動計算和遠程辦公訪問控制策略,并采用合適的安全措施來降低使用移動計算和通訊設備的風險。

    19.4.8.2 管理保障控制組件注解

    組織機構應制定移動計算設施的安全使用規定,對使用者進行安全意識教育。
    組織機構應制定遠程工作的控制程序,對遠程工作活動進行授權管理。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类