ISO27001標(biāo)準(zhǔn)附錄 A.11.1　訪問控制的業(yè)務(wù)要求

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.1.1　訪問控制策略

　　【內(nèi)容解析】

　　管理層應(yīng)制定并發(fā)布一份訪問控制策略文件，訪問控制策略應(yīng)滿足組織對(duì)業(yè)務(wù)運(yùn)行、法律法規(guī)、合同和其他特殊情況下的要求。

　　訪問控制是信息安全的關(guān)鍵概念，組織應(yīng)十分關(guān)注訪問控制的運(yùn)行，并將當(dāng)前實(shí)施狀況與標(biāo)準(zhǔn)本條款的要求進(jìn)行比較以改進(jìn)訪問安全。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.2　用戶訪問管理

　　【內(nèi)容解析】

　　組織信息處理設(shè)施的用戶應(yīng)按照訪問控制策略并結(jié)合相應(yīng)的方法加以鑒別和授權(quán)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.2.1　用戶注冊(cè)

　　【內(nèi)容解析】

　　管理層應(yīng)依據(jù)訪問控制策略對(duì)需要訪問信息處理系統(tǒng)和應(yīng)用的用戶實(shí)施注冊(cè)和注銷賬戶的規(guī)程。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.2.2　特殊權(quán)限管理

　　【內(nèi)容解析】

　　特殊權(quán)限在信息安全中十分重要，因?yàn)樘貦?quán)是基于信任，通常只授予管理層和特定人員。特殊權(quán)限會(huì)給組織的資產(chǎn)帶來安全風(fēng)險(xiǎn)，應(yīng)按照規(guī)定策略和指南嚴(yán)格控制其分配和使用。

　　在企業(yè)內(nèi)控方面可以借鑒最小特權(quán)原則，即將訪問權(quán)限制在履行其職責(zé)所需的最低限度。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.2.3　用戶口令管理

　　【內(nèi)容解析】

　　口令是用來鑒別用戶身份的一組秘密字符串，用來控制對(duì)數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的訪問?？诹罟芾硎且粋€(gè)過程，包含對(duì)口令策略(規(guī)則)和管理規(guī)程的定義、實(shí)施和維護(hù)。有效的口令管理可降低對(duì)信息處理設(shè)施和信息的損害風(fēng)險(xiǎn)，保護(hù)口令的保密性、完整性和可用性。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.2.4　用戶訪問權(quán)的復(fù)查

　　【內(nèi)容解析】

　　對(duì)訪問權(quán)應(yīng)由不負(fù)責(zé)建立賬戶的有資質(zhì)的人員進(jìn)行定期的復(fù)查，以確?，F(xiàn)有的訪問權(quán)符合其角色和職責(zé)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.3　用戶職責(zé)

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.3.1　口令使用

　　【內(nèi)容解析】

　　組織應(yīng)基于良好的口令實(shí)踐建立口令結(jié)構(gòu)，用戶要遵守組織的要求，并建立良好的口令使用習(xí)慣。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.3.2　無人值守的用戶設(shè)備

　　【內(nèi)容解析】

　　當(dāng)信息處理設(shè)施和應(yīng)用系統(tǒng)處于無人值守時(shí)，管理層應(yīng)有必要的措施確保無人值守的設(shè)備得到適當(dāng)?shù)谋Ｗo(hù)。如當(dāng)非工作時(shí)間，由值班人員對(duì)工作場(chǎng)所和設(shè)施進(jìn)行定期巡查等。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.3.3　清空桌面和屏幕策略

　　【內(nèi)容解析】

　　當(dāng)員工一段時(shí)間(如開會(huì))不在工作區(qū)時(shí)，他們的工作區(qū)域應(yīng)確保安全，任何形式的敏感信息未被非授權(quán)訪問。對(duì)此組織應(yīng)規(guī)定相應(yīng)的策略或制度。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.4　網(wǎng)絡(luò)訪問控制

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.4.1　使用網(wǎng)絡(luò)服務(wù)的策略

　　【內(nèi)容解析】

　　網(wǎng)絡(luò)連接，特別是因特網(wǎng)和無線網(wǎng)連接，需要在信息處理環(huán)境中識(shí)別風(fēng)險(xiǎn)。管理層對(duì)使用網(wǎng)絡(luò)服務(wù)以及日常監(jiān)視網(wǎng)絡(luò)環(huán)境應(yīng)規(guī)定有明確的策略，以確保用戶僅能訪問得到授權(quán)的服務(wù)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.4.2　外部連接的用戶鑒別

　　【內(nèi)容解析】

　　應(yīng)采用安全的鑒別方式來控制遠(yuǎn)程用戶對(duì)信息處理設(shè)施的外部網(wǎng)絡(luò)連接。常用的鑒別方法有：登錄時(shí)要求用戶名和口令。但對(duì)重要的系統(tǒng)組織應(yīng)基于風(fēng)險(xiǎn)考慮其他鑒別方式，如生物鑒別等。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.4.3　網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)

　　【內(nèi)容解析】

　　適當(dāng)時(shí)，對(duì)網(wǎng)絡(luò)上的設(shè)備進(jìn)行標(biāo)識(shí)，是鑒別來自一個(gè)特定受控環(huán)境和設(shè)備的網(wǎng)絡(luò)通訊的安全手段。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.4.4　遠(yuǎn)程診斷和配置端口的保護(hù)

　　【內(nèi)容解析】

　　對(duì)網(wǎng)絡(luò)和通信設(shè)備的診斷和遠(yuǎn)程端口，組織應(yīng)嚴(yán)密控制，防止未授權(quán)的物理和邏輯訪問。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.4.5　網(wǎng)絡(luò)隔離

　　【內(nèi)容解析】

　　網(wǎng)絡(luò)服務(wù)是基于網(wǎng)絡(luò)的服務(wù)，包括因特網(wǎng)服務(wù)、內(nèi)部網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、IP電話和視頻廣播等。在可能的情況下應(yīng)將網(wǎng)絡(luò)服務(wù)在邏輯網(wǎng)絡(luò)中進(jìn)行隔離，以增強(qiáng)控制的深度。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.4.6　網(wǎng)絡(luò)連接控制

　　【內(nèi)容解析】

　　網(wǎng)絡(luò)擴(kuò)展到組織的邊界之外通常是為了便利與外部第三方供應(yīng)商或外部商業(yè)合作伙伴開展業(yè)務(wù)活動(dòng)。從信息安全的角度，對(duì)這種網(wǎng)絡(luò)連接控制是一種挑戰(zhàn)，而且常被忽略，因?yàn)楣?yīng)商和業(yè)務(wù)伙伴在使用組織網(wǎng)絡(luò)時(shí)是受信的。所以組織應(yīng)實(shí)施控制措施來限制用戶的連接能力和對(duì)網(wǎng)絡(luò)的訪問能力。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.4.7　網(wǎng)絡(luò)路由控制

　　【內(nèi)容解析】

　　網(wǎng)絡(luò)路由的邏輯控制對(duì)數(shù)據(jù)和信息流的控制十分關(guān)鍵。網(wǎng)絡(luò)路由的控制應(yīng)與對(duì)特定應(yīng)用和服務(wù)的訪問控制相結(jié)合。

　　網(wǎng)絡(luò)路由控制通常需要在IT部門選擇具有相關(guān)知識(shí)的人員來設(shè)計(jì)和實(shí)施本項(xiàng)所要求的控制措施，并最好經(jīng)過相關(guān)專家的確認(rèn)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.5　操作系統(tǒng)訪問控制

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.5.1　安全登錄規(guī)程

　　【內(nèi)容解析】

　　操作系統(tǒng)的訪問應(yīng)通過安全設(shè)計(jì)的登錄和鑒別規(guī)程來加以保護(hù)，將未授權(quán)訪問的機(jī)會(huì)降低到最小。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.5.2　用戶標(biāo)識(shí)和鑒別

　　【內(nèi)容解析】

　　對(duì)組織信息處理系統(tǒng)訪問的用戶應(yīng)有唯一的用戶賬戶，并在允許其訪問系統(tǒng)前采用安全的方式來確認(rèn)用戶的身份。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.5.3　口令管理系統(tǒng)

　　【內(nèi)容解析】

　　應(yīng)采用系統(tǒng)來管理口令并強(qiáng)制實(shí)施口令策略。

　　口令管理系統(tǒng)通常與網(wǎng)絡(luò)相關(guān)聯(lián)，但也可應(yīng)用于應(yīng)用系統(tǒng)和數(shù)據(jù)庫。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.5.4　系統(tǒng)實(shí)用工具的使用

　　【內(nèi)容解析】

　　對(duì)于超越系統(tǒng)控制的實(shí)用工具應(yīng)限制安裝，如需安裝使用，其使用權(quán)限應(yīng)僅限于指定的管理員。

　　對(duì)實(shí)用工具的使用應(yīng)加以監(jiān)視并保留記錄。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.5.5　會(huì)話超時(shí)

　　【內(nèi)容解析】

　　操作系統(tǒng)和終端在預(yù)定的時(shí)間段內(nèi)，如會(huì)話沒有活動(dòng)應(yīng)自動(dòng)加鎖，以防止未授權(quán)訪問。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.5.6　聯(lián)機(jī)時(shí)間的限定

　　【內(nèi)容解析】

　　對(duì)識(shí)別為高風(fēng)險(xiǎn)的應(yīng)用系統(tǒng)，在聯(lián)機(jī)時(shí)間上要有限制，超過約定聯(lián)機(jī)時(shí)間應(yīng)加鎖或斷開聯(lián)機(jī)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.6　應(yīng)用和信息訪問控制

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.6.1　信息訪問限制

　　【內(nèi)容解析】

　　應(yīng)用系統(tǒng)具有儲(chǔ)存和處理關(guān)鍵、敏感信息和數(shù)據(jù)的能力。組織對(duì)這類數(shù)據(jù)和信息應(yīng)依照已確定的訪問控制策略采取保護(hù)性的控制措施(例如，限制訪問權(quán)限，包括讀、寫、刪除等)，以防止未授權(quán)的訪問及信息損毀。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.6.2　敏感系統(tǒng)隔離

　　【內(nèi)容解析】

　　如果識(shí)別為高敏感性的應(yīng)用系統(tǒng)，應(yīng)加以隔離、嚴(yán)密控制并監(jiān)視。同時(shí)對(duì)信息處理系統(tǒng)或應(yīng)用系統(tǒng)的責(zé)任人，也應(yīng)有相應(yīng)的隔離要求。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.7　移動(dòng)計(jì)算和遠(yuǎn)程工作

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.7.1　移動(dòng)計(jì)算和通信

　　【內(nèi)容解析】

　　移動(dòng)計(jì)算是指可改變位置的計(jì)算裝置，通常包括便攜式計(jì)算機(jī)(WearableComputer)、PDISO27001標(biāo)準(zhǔn)附錄 A.⒊兌貧縋浴⒅悄蓯只?、车载紦溷机（carputer)。

　　移動(dòng)計(jì)算的使用，因?yàn)樘幵谑芸氐木W(wǎng)絡(luò)環(huán)境之外，所以是組織面臨的特殊風(fēng)險(xiǎn)。需要組織策劃相應(yīng)的控制措施。

　　ISO27001標(biāo)準(zhǔn)附錄 A.11.7.2　遠(yuǎn)程工作

　　【內(nèi)容解析】

　　遠(yuǎn)程工作是指利用信息通信技術(shù)(ICT)使工作能在遠(yuǎn)離工作結(jié)果產(chǎn)生的地點(diǎn)進(jìn)行，例如，居家遠(yuǎn)程工作(Home-basedtelework)。

　　遠(yuǎn)程工作者需要訪問組織的資源，包括內(nèi)部應(yīng)用系統(tǒng)和信息。所以組織應(yīng)明確遠(yuǎn)程工作策略，并針對(duì)從外部訪問組織資源的相關(guān)風(fēng)險(xiǎn)，開發(fā)和實(shí)施特定的控制和防護(hù)措施。