5Organizational controls 组织控制ISO/IEC 27001: 2022 附录A)
5.15Access control
访问控制
Control 控制
Rules to control physical and logical access to information and other associated assets shall be established and implemented based on business and information security requirements.
应根据业务和信息安全需求,建立对信息和其他关联资产的物理和逻辑访问的控制规则,并予以实施。
5.16Identity management
身份管理
Control 控制
The full life cycle of identities shall be managed.
应管理身份的整个生命周期。
5.17Authentication information
鉴别信息
Control 控制
Allocation and management of authentication information shall be controlled by a management process, including advising personnel on appropriate handling of authentication information.
应通过正式的管理过程控制鉴别信息的分配和管理,包括建议人员适当处理鉴别信息。
5.18Access rights
访问权
Control 控制
Access rights to information and other associated assets shall be provisioned, reviewed, modified and removed in accordance with the organization’s topic-specific policy on and rules for access control.
应根据组织特定主题的访问控制策略和规则对信息和其他关联资产的访问权进行分配、评审、修改和删除。
A.9 访问控制(ISO/IEC 27001: 2013 附录A)
A.9.1 访问控制的业务要求
目标:限制对信息和信息处理设施的访问。
A.9.1.1访问控制策略控制
应基于业务和信息安全要求,建立访问控制策略,形成文件并进行评审。
A.9.1.2网络和网络服务的访问控制
应仅向用户提供他们已获专门授权使用的网络和网络服务的访问。
A.9.2 用户访问管理
目标:确保授权用户对系统和服务的访问,并防止未授权的访问。
A.9.2.1用户注册和注销控制
应实现正式的用户注册及注销过程,以便可分配访问权。
A.9.2.2用户访问供给控制
应对所有系统和服务的所有类型用户,实现一个正式的用户访问供给过程以分配或撤销访问权。
A.9.2.4用户的秘密鉴别信息管理控制
应通过正式的管理过程控制秘密鉴别信息的分配。
A.9.2.5用户访问权的评审控制
资产拥有者应定期对用户的访问权进行评审。
A.9.2.6访问权的移除或调整控制
所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时,应予以移除,或在变更时予以调整。
A.9.3 用户责任
目标:让用户承担保护其鉴别信息的责任。
A.9.3.1秘密鉴别信息的使用控制
应要求用户遵循组织在使用秘密鉴别信息时的惯例。
A.9.4 系统和应用访问控制
目标:防止对系统和应用的未授权访问。
A.9.4.3口令管理系统控制
口令管理系统应是交互式的,并应确保优质的口令。

控制解析:

  1. 在新版中的这些控制项(A.5.15 & A.5.16 & A.5.17 & A.5.18)都能在ISO/IEC 27001: 2013中找到对应的控制项。ISO/IEC 27001: 2013中的A.9.1.1和A.9.1.2,在新版中合并成了A.5.15;ISO/IEC 27001: 2013中的A.9.2.4、A.9.3.1和A.9.4.3,在新版中合并成了A.5.17;ISO/IEC 27001: 2013中的A.9.2.2、A.9.2.5和A.9.2.6,在新版中合并成了A.5.18。
  2. 组织应建立访问控制过程,并形成书面的《访问控制程序》。
  3. 在《访问控制程序》中应明确相关职责和访问控制过程与其他过程(如项目管理过程、IT运维过程等)衔接和沟通渠道,以便将访问控制策略和A.5.15 & A.5.16 & A.5.17 & A.5.18这些控制要求整合到相关业务过程。
  4. 组织应根据实际业务和信息安全风险,制定访问控制(访问控制包含了信息系统、网路服务、设备设施、物理区域等方面的访问控制)策略,并通过《访问控制程序》进行落地实施(A.5.15)。
  5. 访问控制策略需要包括对访问者的身份进行管理要求,需要有访问者的账户(ID)注册和注销过程(账户生命周期),这一要求需要在相关信息系统、门禁系统等设施的管理和使用规范中体现(A.5.16)。
  6. 访问控制策略需要包括对鉴别信息(最常见的是用户口令,另外还有IC卡、指纹、人脸识别,手机短信验证等)分配和管理要求(如,用户获得系统账户,如果是默认初始口令,首次登陆必须强制用户修改口令;口令管理(禁止共享等)和设置要求(如大小写+至少8为+字母+特殊符号);信息系统的口令系统应该是交互式的,可以自行找回口令,自行更改口令,可以自动强制设置符合要求的口令。),这一要求需要在相关信息系统、门禁系统等设施的管理和使用规范中体现(A.5.17)。
  7. 访问控制策略需要包含访问权的申请授权、访问权定期评审以及访问权调整或清除要求,这一要求需要在相关信息系统、门禁系统等设施的管理和使用规范中体现(A.5.18)。

实施本控制应输出的文档:

  1. 《访问控制程序》、访问控制策略。
  2. 信息系统、门禁系统等设施的管理和使用规范。
  3. 访问权的申请授权记录、访问权评审记录、访问权移除或调整记录。

本控制审核要点:

  1. 审核《访问控制程序》和访问控制策略。
  2. 抽查关键信息处理设施访问是否符合访问控制策略。
  3. 抽查员工信息系统账户口令设置是否符合访问控制策略要求。
  4. 抽查信息系统,是否有定期进行访问权的评审,并提供评审记录。
  5. 抽查员工访问权是否有进行申请和授权,并提供记录。
  6. 抽查近期离职或调岗员工,是否存在未及时移除访问权的情况。