访问控制安全管理策略.pdfVIP

ISO/IEC27001-2022/ISO20000信息安全管理体系文件范例

文件名称：访问控制安全管理策略生效日期：2024-02-25

文件编号：页数1/4生效版本：A0

文件制修订记录

NO制/修订日期修订编号制/修订内容版本页次

12024-02-25-新制订A0

核准审核制订

ISO/IEC27001-2022/ISO20000信息安全管理体系文件范例

文件名称：访问控制安全管理策略生效日期：2024-02-25

文件编号：页数2/4生效版本：A0

访问控制管理是为了防止信息及信息（资产）系统未经授权的访问，信息系统包括各种应用

系统、操作平台、数据库、中间件、网络设备、安全系统和设备等。

01.访问控制业务需求

访问授权与控制是对访问信息资源的用户赋予使用权限并在对资源访问时按授予的权限进

行控制。关于访问授权与控制的方针定义如下：

•最小授权：应仅对用户授予他们开展业务活动所必需的访问权限，对除明确规定允许之

外的所有权限必须禁止。

•需要时获取：所有用户由于开展业务活动涉及到资源使用时，应遵循需要时获取的原

则，即不获取和自己工作无关的任何资源。

在信息系统维护管理过程中，应建立和不断完善主机、网络设备和安全设备等的访问控制

策略，访问控制策略应至少考虑下列内容：

•信息系统所运行业务的重要性。

•各个信息系统的安全要求。

•各个信息系统所面临的风险状况。

•访问控制策略强度与其信息资产价值之间的一致性。

用户在使用网络服务时，应只能访问已获授权使用的网络和网络服务服务，并遵守以下策

略要求：

•使用内部网络服务和外部网络服务时，均应遵守国家的法律、法规，不得从事非法活

动。

•使用内部网络服务和外部网络服务时，还应遵守内部相关规章制度的要求。

02.用户访问管理

所有系统用户的注册过程应进行必要的管理，在用户注册的过程中应遵循以下策略：

•所有用户账号的开通应通过正式的账号申请审批过程。

•申请过程核实用户申请和用户资料。

•使用唯一的用户ID号码，保证可由此号码追溯用户。

•保存所有用户注册的审批记录，无论是电子还是纸质的。

系统用户权限变更、取消过程应进行必要的管理，在用户权限变更、取消的过程中应遵循

以下策略：

•当用户的账号、权限需要变更时应通过正式的变更审批过程。

ISO/IEC27001-2022/ISO20000信息安全管理体系文件范例

文件名称：访问控制安全管理策略生效日期：2024-02-25

文件编号：页数3/4生效版本：A0

•核实用户账号权限变更、取消的申请。

•在工作人员工作范围发生变化或人员转岗后，应及时变更用户账号。

•在工作人员离职后，应立即删除或禁用用户账号，取消该用户访问权。

•保存所有用户变更和取消访问权限的审批记录，无论是电子还是纸质的。

所有系统特权均应采取控制措施来限制特殊权限的分配及使用。任何信息系统，只能由其

所有者或授权管理者控制该系统特权账号的密码，包括关键主机、网络设备和安全设备等

所用密码。

应建立正式系统口令管理策略，对口令的复杂度、长度、定期更换等内容进行定义说明；

如系统支持技术手段进行口令管理策略实现，应优先选用技术手段进行控制。

所有核心应用系统中所有账号均应进行定期权限清查，及时清除多余用户账号及权限。清

查周期可根据系统重