ISO/IEC 27001 术语 “访问控制”
在ISO/IEC 27001标准中,“访问控制”是一个关键的术语,其核心定义和相关要求如下:
定义
访问控制是指在信息系统中,管理和限制对资源(如计算机、文件、网络等)访问的过程,确保只有被授权的人员、设备或系统可以访问特定的资源。其目标是根据业务和安全要求,对资产的访问进行授权和限制。
相关要求
访问控制策略:组织应制定访问控制策略,形成文件,并基于业务和访问的安全要求进行评审。策略应确保所有访问控制措施的实施是为了满足信息安全要求。
用户访问管理:应有正式的用户注册和注销程序,来支撑访问权限的分配。用户注册是用户管理生命周期的开始,注册必须使用唯一的ID与用户行为联系起来。
授权和权限管理:应有正式的用户权限控制规程来授权或撤销对所有信息系统及服务的访问。应限制和控制特殊权限的分配及使用。
密码管理:密码是最常见的身份验证机制之一,因此组织需要实施严格的密码管理策略,确保密码的强度、复杂性和定期更换。
审计和监控:通过记录和分析访问日志,组织可以识别出潜在的安全事件,例如未授权访问、过期账户、权限滥用等。审计日志应包括访问时间、用户身份、访问资源和操作类型等信息,并定期进行审查。
关键概念
身份验证(Authentication):确认用户身份的过程,通常通过用户名和密码进行验证,也可以通过智能卡、生物识别技术(指纹、面部识别)、双因素认证(2FA)等方式。
授权(Authorization):在用户通过身份验证后,系统决定该用户可以访问哪些资源以及可以执行哪些操作,通常是基于角色、权限和访问控制列表(ACL)进行的。
最小权限原则(Principle of Least Privilege):每个用户只应拥有完成其工作所需的最低权限,以减少因过度授权导致的信息泄露、误操作或恶意行为的风险。
会话管理(Session Management):对用户与系统之间交互过程的控制,确保用户会话在规定的时间内自动超时或被注销,防止未经授权的使用。
实施建议
实施最小权限原则,确保每个用户仅拥有完成其工作所需的最低权限。
使用多因素认证(MFA),特别是对于关键系统和高风险操作,以增强身份验证的安全性。
定期审查访问权限,特别是针对离职员工或角色变动的情况。
建立完善的访问控制策略和流程,确保所有访问控制措施和流程是明确的,并得到有效执行。
访问控制是ISO/IEC 27001标准中确保信息安全的基础组成部分,通过制定明确的访问控制策略、实施严格的身份验证和授权流程、应用最小权限原则、进行访问审计和持续监控等措施,组织可以有效保护信息资源的机密性、完整性和可用性。
