A.9.2 用户访问管理 | ||
目标:确保授权用户对系统和服务的访问,并防止未授权的访问。 | ||
A.9.2.1 | 用户注册和注销 | 控制 应实现正式的用户注册及注销过程,以便可分配访问权。 |
A.9.2.2 | 用户访问供给 | 控制 应对所有系统和服务的所有类型用户,实现一个正式的用户访问供给过程以分配或撤销访问权。 |
A.9.2.3 | 特许访问权管理 | 控制 应限制并控制特许访问权的分配和使用。 |
A.9.2.4 | 用户的秘密鉴别信息管理 | 控制 应通过正式的管理过程控制秘密鉴别信息的分配。 |
A.9.2.5 | 用户访问权的评审 | 控制 资产拥有者应定期对用户的访问权进行评审。 |
A.9.2.6 | 访问权的移除或调整 | 控制 所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时,应予以移除,或在变更时予以调整。 |
控制解析:
- 信息系统以及服务的用户(ID)需要有注册和注销过程,以便可以分配适当的访问权限。
- 所有系统和服务的所有类型用户(ID)注册和注销需要有流程,并且只有流程批准后,才通过注册获得相应访问权限,或回收相应权限。
- 超越一般用户访问权都可以看作是特许访问权,如审计人员拥有系统全部模块数据的访问权限,系统维护人员的账户权限等。
- 对于各类信息系统和服务的必要的特许访问权限账户需要提前识别出,以便分配给需要的人员。分配时,必须先要通过审批授权,并且按照最小权限原则分配。
- 用户的秘密鉴别信息,最常见的是用户口令,另外还有IC卡、指纹、人脸识别,手机短信验证等。
- 用户获得系统账户,如果是默认初始口令,首次登陆必须强制用户修改口令。
- 《信息及其处理设施访问管理规范》需明确口令管理(禁止共享等)和设置要求(如大小写+至少8为+字母+特殊符号)。
- 各系统和服务拥有者必须定期对用户的访问进行评审,以确保离职、调岗员工的访问权限有及时清除掉。
- 离职员工和调岗员工,在办理离职或调岗前,应先清除相关访问权限。
实施本控制应输出的文档:
- 《信息及其处理设施访问管理规范》。
- 访问权限申请和注销流程,及相关记录。
- 特许访问权限清单,及申请记录。
- 访问权限评审记录、访问权限清除记录。
本控制审核要点:
- 抽查重要信息系统用户(ID)分配过程,是否有注册和注销过程。
- 抽查重要信息系统用户(ID)申请授权记录。
- 检查《信息及其处理设施访问管理规范》是否口令管理和设置要求。
- 审核访问权限评审记录。
- 抽查近期离职和调岗员工的权限是否被清除。