ISO27001標準附錄 A.11.1 訪問控制的業(yè)務要求

ISO27001標準附錄 A.11.1.1 訪問控制策略

【內(nèi)容解析】

管理層應制定并發(fā)布一份訪問控制策略文件,，訪問控制策略應滿足組織對業(yè)務運行、法律法規(guī),、合同和其他特殊情況下的要求,。

訪問控制是信息安全的關(guān)鍵概念，組織應十分關(guān)注訪問控制的運行,，并將當前實施狀況與標準本條款的要求 進行比較以改進訪問安全,。

ISO27001標準附錄 A.11.2 用戶訪問管理

【內(nèi)容解析】

組織信息處理設施的用戶應按照訪問控制策略并結(jié)合相應的方法加以鑒別和授權(quán)。

ISO27001標準附錄 A.11.2.1 用戶注冊

【內(nèi)容解析】

管理層應依據(jù)訪問控制策略對需要訪問信息處理系統(tǒng)和應用的用戶實施注冊和注銷賬戶的規(guī)程,。

ISO27001標準附錄 A.11.2.2 特殊權(quán)限管理

【內(nèi)容解析】

特殊權(quán)限在信息安全中十分重要,，因為特權(quán)是基于信任，通常只授予管理層和特定人員,。特殊權(quán)限會給組織 的資產(chǎn)帶來安全風險,，應按照規(guī)定策略和指南嚴格控制其分配和使用。

在企業(yè)內(nèi)控方面可以借鑒最小特權(quán)原則,，即將訪問權(quán)限制在履行其職責所需的最低限度,。

ISO27001標準附錄 A.11.2.3 用戶口令管理

【內(nèi)容解析】

口令是用來鑒別用戶身份的一組秘密字符串，用來控制對數(shù)據(jù),、系統(tǒng)和網(wǎng)絡的訪問,。口令管理是一個過程,，包含對口令策略（規(guī)則）和管理規(guī)程的定義,、實施和維護。有效的口令管理可降低對信息處理設施和信息的損害風險,，保護口令的保密性,、完整性和可用性,。

ISO27001標準附錄 A.11.2.4 用戶訪問權(quán)的復查

【內(nèi)容解析】

對訪問權(quán)應由不負責建立賬戶的有資質(zhì)的人員進行定期的復查，以確?，F(xiàn)有的訪問權(quán)符合其角色和職責,。

ISO27001標準附錄 A.11.3 用戶職責 ISO27001標準附錄 A.11.3.1 口令使用

【內(nèi)容解析】

組織應基于良好的口令實踐建立口令結(jié)構(gòu)，用戶要遵守組織的要求,，并建立良好的口令使用習慣,。

ISO27001標準附錄 A.11.3.2 無人值守的用戶設備

【內(nèi)容解析】

當信息處理設施和應用系統(tǒng)處于無人值守時，管理層應有必要的措施確保無人值守的設備得到適當?shù)谋Ｗo,。如當非工作時間，由值班人員對工作場所和設施進行定期巡查等,。 

ISO27001標準附錄 A.11.3.3 清空桌面和屏幕策略

【內(nèi)容解析】

當員工一段時間（如開會）不在工作區(qū)時,，他們的工作區(qū)域應確保安全，任何形式的敏感信息未被非授權(quán)訪問,。對此組織應規(guī)定相應的策略或制度,。

ISO27001標準附錄 A.11.4 網(wǎng)絡訪問控制

ISO27001標準附錄 A.11.4.1 使用網(wǎng)絡服務的策略

【內(nèi)容解析】

網(wǎng)絡連接，特別是因特網(wǎng)和無線網(wǎng)連接,，需要在信息處理環(huán)境中識別風險,。管理層對使用網(wǎng)絡服務以及日常監(jiān)視網(wǎng)絡環(huán)境應規(guī)定有明確的策略，以確保用戶僅能訪問得到授權(quán)的服務,。

ISO27001標準附錄 A.11.4.2 外部連接的用戶鑒別

【內(nèi)容解析】

應采用安全的鑒別方式來控制遠程用戶對信息處理設施的外部網(wǎng)絡連接,。常用的鑒別方法有：登錄時要求用戶名和口令。但對重要的系統(tǒng)組織應基于風險考慮其他鑒別方式,，如生物鑒別等,。

ISO27001標準附錄 A.11.4.3 網(wǎng)絡上的設備標識

【內(nèi)容解析】

適當時，對網(wǎng)絡上的設備進行標識,，是鑒別來自一個特定受控環(huán)境和設備的網(wǎng)絡通訊的安全手段,。

ISO27001標準附錄 A.11.4.4 遠程診斷和配置端口的保護

【內(nèi)容解析】

對網(wǎng)絡和通信設備的診斷和遠程端口，組織應嚴密控制,，防止未授權(quán)的物理和邏輯訪問,。

ISO27001標準附錄 A.11.4.5 網(wǎng)絡隔離

【內(nèi)容解析】

網(wǎng)絡服務是基于網(wǎng)絡的服務，包括因特網(wǎng)服務,、內(nèi)部網(wǎng)絡,、無線網(wǎng)絡、IP電話和視頻廣播等,。在可能的情況下應將網(wǎng)絡服務在邏輯網(wǎng)絡中進行隔離,，以增強控制的深度。

ISO27001標準附錄 A.11.4.6 網(wǎng)絡連接控制

【內(nèi)容解析】

網(wǎng)絡擴展到組織的邊界之外通常是為了便利與外部第三方供應商或外部商業(yè)合作伙伴開展業(yè)務活動,。從信息安全的角度,，對這種網(wǎng)絡連接控制是一種挑戰(zhàn),，而且常被忽略，因為供應商和業(yè)務伙伴在使用組織網(wǎng)絡時是受信的,。所以組織應實施控制措施來限制用戶的連接能力和對網(wǎng)絡的訪問能力,。

ISO27001標準附錄 A.11.4.7 網(wǎng)絡路由控制

【內(nèi)容解析】

網(wǎng)絡路由的邏輯控制對數(shù)據(jù)和信息流的控制十分關(guān)鍵。網(wǎng)絡路由的控制應與對特定應用和服務的訪問控制相結(jié)合,。網(wǎng)絡路由控制通常需要在IT部門選擇具有相關(guān)知識的人員來設計和實施本項所要求的控制措施,，并最好經(jīng)過相關(guān)專家的確認。

ISO27001標準附錄 A.11.5 操作系統(tǒng)訪問控制

ISO27001標準附錄 A.11.5.1 安全登錄規(guī)程

【內(nèi)容解析】

操作系統(tǒng)的訪問應通過安全設計的登錄和鑒別規(guī)程來加以保護,，將未授權(quán)訪問的機會降低到最小,。

ISO27001標準附錄 A.11.5.2 用戶標識和鑒別

【內(nèi)容解析】

對組織信息處理系統(tǒng)訪問的用戶應有唯一的用戶賬戶，并在允許其訪問系統(tǒng)前采用安全的方式來確認用戶的身份,。

ISO27001標準附錄 A.11.5.3 口令管理系統(tǒng)

【內(nèi)容解析】

應采用系統(tǒng)來管理口令并強制實施口令策略,。口令管理系統(tǒng)通常與網(wǎng)絡相關(guān)聯(lián),，但也可應用于應用系統(tǒng)和數(shù)據(jù)庫,。

ISO27001標準附錄 A.11.5.4 系統(tǒng)實用工具的使用

【內(nèi)容解析】

對于超越系統(tǒng)控制的實用工具應限制安裝，如需安裝使用,，其使用權(quán)限應僅限于指定的管理員,。

對實用工具的使用應加以監(jiān)視并保留記錄。

ISO27001標準附錄 A.11.5.5 會話超時

【內(nèi)容解析】

操作系統(tǒng)和終端在預定的時間段內(nèi),，如會話沒有活動應自動加鎖,，以防止未授權(quán)訪問。

ISO27001標準附錄 A.11.5.6 聯(lián)機時間的限定

【內(nèi)容解析】

對識別為高風險的應用系統(tǒng),，在聯(lián)機時間上要有限制,，超過約定聯(lián)機時間應加鎖或斷開聯(lián)機。 

ISO27001標準附錄 A.11.6 應用和信息訪問控制

ISO27001標準附錄 A.11.6.1 信息訪問限制

【內(nèi)容解析】

應用系統(tǒng)具有儲存和處理關(guān)鍵,、敏感信息和數(shù)據(jù)的能力,。組織對這類數(shù)據(jù)和信息應依照已確定的訪問控制策 略采取保護性的控制措施（例如，限制訪問權(quán)限,，包括讀,、寫、刪除等）,，以防止未授權(quán)的訪問及信息損毀,。

ISO27001標準附錄 A.11.6.2 敏感系統(tǒng)隔離

【內(nèi)容解析】

如果識別為高敏感性的應用系統(tǒng)，應加以隔離,、嚴密控制并監(jiān)視,。同時對信息處理系統(tǒng)或應用系統(tǒng)的責任人，也應有相應的隔離要求。

ISO27001標準附錄 A.11.7 移動計算和遠程工作

ISO27001標準附錄 A.11.7.1 移動計算和通信

【內(nèi)容解析】

移動計算是指可改變位置的計算裝置,，通常包括便攜式計算機（WearableComputer）,、PDISO27001標準附錄A.3.3。

移動計算的使用,，因為處在受控的網(wǎng)絡環(huán)境之外,，所以是組織面臨的特殊風險。需要組織策劃相應的控制措施,。 

ISO27001標準附錄 A.11.7.2 遠程工作

【內(nèi)容解析】

遠程工作是指利用信息通信技術(shù)（ICT）使工作能在遠離工作結(jié)果產(chǎn)生的地點進行,，例如，居家遠程工作（Home-basedtelework）,。

遠程工作者需要訪問組織的資源,，包括內(nèi)部應用系統(tǒng)和信息。所以組織應明確遠程工作策略,，并針對從外部訪問組織資源的相關(guān)風險,，開發(fā)和實施特定的控制和防護措施。