ISO/IEC 27001 : 2022 附录 A 8.3 信息访问约束
信息访问限制
ISO 27001:2022 附录 A 8.3 的目的
组织的信息安全策略在很大程度上依赖于内部和外部对信息的访问。
ISO 27001:2022 附录 A 8.3 是一种通过建立规则和程序来管理风险的预防措施,以防止未经授权访问/滥用组织的信息和 ICT 资产。
附录 A 的所有权 8.3
ISO 27001:2022 附录 A 8.3 涉及组织规范信息访问的能力。它确保只有经过授权的人员才能访问信息。
信息和数据安全实践的所有权应归首席信息安全官(或其组织同等人员)所有。此人对组织的整体安全方法负全部责任。
ISO 27001:2022 附录 A 8.3 的一般指南
为了保持对信息和ICT资产的有效控制,组织应采取针对特定主题的信息访问方法,并支持访问限制措施,例如:
阻止匿名访问信息,包括广泛的公共访问:
组织应确保授予公众或第三方的访问权限不包括敏感或关键业务数据。
确保系统得到适当的维护,以规范访问和任何相关的业务应用程序或过程。
在个人级别设置数据访问权限。
概述验证操作(如读取、写入、删除和执行)的组之间的数据访问权限。
保持将具有各种物理和数字访问限制的重要流程和应用程序分开的能力。
动态访问管理指南
ISO 27001:2022 附录 A 8.3 建议对信息访问采取动态方法。
动态访问管理对组织活动有许多积极影响,涉及与外部用户共享或利用内部数据,从而更快地解决事件。
动态访问管理技术可保护各种信息类型,从普通文档到电子邮件和数据库信息。此外,它们可以应用于单个文件,使组织能够精确控制其数据。
在以下情况下,组织应考虑到这一点:
需要精细的控制来确定哪些人类和非人类用户可以在任何给定时间访问信息。
需要与外部实体(例如供应商或政府机构)共享数据。
数据管理和分发的“实时”方法需要随时监控和管理数据利用率。
保护数据免遭未经授权的更改、分发或打印。
监测信息的获取和更改,特别是敏感信息的获取和更改,至关重要。
动态访问管理对于需要从开始到销毁全过程进行观察和保存的组织特别有益,包括:
可以概述一个用例或一系列用例,以根据以下变量应用数据访问规则:
位置
应用
身份
装置
概述一个流程,包括数据操作和监控,以及建立一个基于可靠技术基础设施的综合报告系统。
所有创建有效访问控制系统的尝试都应通过以下方式保护数据:
确保数据访问是成功身份验证的结果。
必须根据数据类型及其影响业务连续性的能力,对访问进行一定程度的限制。
打印权限。
加密。
必须保留全面的审核日志,记录数据访问者以及数据使用目的。
一种警报程序,用于标记任何不当使用数据的行为,包括(但不限于)未经授权的访问、分发和尝试删除。
与 ISO 27001:2013 的变化和区别
ISO 27001:2022 附录 A 8.3 取代了 ISO 27001:2013 附录 A 9.4.1(信息访问限制),代表了 ISO 考虑信息访问管理方式的重大转变。
ISO 27001:2013 附录 A 9.4.1 中未提及的这种动态方法考虑到了信息安全不断发展的性质。
ISO 27001:2022 附录 8.3 提供了大量有关动态访问管理的指导说明,这些指导说明在 ISO 27001:2013 版中是找不到的。因此,组织在寻求认证时应逐个主题查看这些建议。
