ISO/IEC 27001 : 2022 附录 A 8.2 特殊访问权
特权访问权限
ISO 27001:2022 附录 A 8.2 的目的是什么?
在全球商业网络中,误用或滥用提升的系统管理员权限是导致 ICT 中断的重要原因。
通过使用特权访问权限,组织可以控制对其基础架构、应用程序、资产和数据的访问。
ISO 27001:2022 附录 A 8.2 建立了一个授权流程,以处理组织 ICT 网络和资产的所有访问请求。它是一种旨在保持风险的预防性控制措施。
谁拥有附录 A 8.2 的所有权?
如附录 A 8.6 所示,组织可以通过与用户帐户相关的增强访问权限来控制对数据的访问。
这意味着组织管理和监视特权域或应用程序用户帐户的能力应由信息技术主管(或同等人员)负责。
ISO 27001:2022 附录 A 8.2 的一般指南
ISO 27001:2022 附录 A 8.2 概述了企业应遵循的 12 个主要指导点,这些指导点基于针对特定业务功能的“特定主题”访问控制政策(参见附录 A 5.15)。
对于组织来说,至关重要的是:
准备需要任何程度的特权访问的用户列表,无论是对单个系统、应用程序还是基础操作系统。
确保在“逐个事件”的基础上向用户分配特权访问权限 - 应根据用户履行职责所需的最低限度授予访问权限。
维护已授予的所有访问权限的记录,并概述所有特权访问请求的简单授权过程。
访问权限必须受相关到期日期的约束。
当用户使用对系统的特权访问进行操作时,应明确通知用户。
在相关的情况下,系统会要求用户在使用特权访问权限之前重新进行身份验证,以增强信息和数据的安全性。
定期审核特权访问权限,尤其是在组织变革一段时间后。应根据用户的“义务、角色、责任和能力”审查访问权限(见附录 A 5.18)。
考虑一个“打破玻璃”过程,即在严格控制的时间范围内授予特权访问权限,以满足要完成的操作(关键更改、系统管理等)的最低要求。
确保记录涉及特权访问的所有活动。
标准化的用户名和密码(见附录A 5.17)不应用于系统登录。
维护为用户分配具有单独标识的策略,以更好地控制特权访问权限。因此,可以将这些标识组合在一起,并向关联组授予不同级别的访问权限。
确保为对 ICT 网络正常运行至关重要的任务(例如网络管理和维护)保留特权访问权限。