ISO27001培训系列V1.0
ISO 27001信息安全体系培训控制目标和控制措施
(条款A11-访问控制)
2009年11月
董翼枫(dongyifeng78@hotmail )
条款A11
访问控制
A11.1访问控制的业务要求
✓目标:
控制对信息的访问。
表白失败✓对信息、信息处理设施和业务过程的访问应在业务和安全要求的基础上予以控制。怎么创建博客
✓访问控制规则应考虑到信息传播和授权的策略。
控制措施
访问控制策略应建立、形成文件,并基于业务和访问的安全要求进行评审。
实施指南
✓应在访问控制策略中清晰地规定每个用户或每组用户的访问控制规则和权利。访问控制包括逻辑的和物理的(也见A9),他们应一起考虑。应给用户和服务提供商提供一份清晰的应满足的业务要求的说明。
七月半写包称呼大全写包格式✓策略应考虑到下列内容:
a)各个业务应用的安全要求;
b)与业务应用相关的所有信息的标识和该信息面临的风险;
c)信息传播和授权的策略,例如,了解原则和安全等级以及信息分类的需要(见A7.2);
d)不同系统和网络的访问控制策略和信息分类策略之间的一致性;
e)关于保护访问数据或服务的相关法律和合同义务(见A15.1);
f)组织内常见工作角的标准用户访问轮廓;
g)在认可各种可用的连接类型的分布式和网络化环境中的访问权的管理;
h)访问控制角的分离,例如访问请求、访问授权、访问管理;
i)访问请求的正式授权要求(见A11.2.1);
j)访问控制的定期评审要求(见A11.2.4);
k)访问权的取消(见A8.3.3)。最刺激的电影
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论