海南iso9001认证,海南iso9000认证,海南质量管理体系认证,海南ISO14001认证,海南iso14000认证,海南环境管理体系认证
服务项目
联系奔烁
华道纵横(深圳)企业管理咨询有限公司
        4006-010-725
(上海) 电话|微信:  152-2175-9315
          Q Q 客服:  2215501312
(青岛) 电话|微信:  137-9194-1216
          Q Q 客服:  574472821
(北京) 电话|微信:  136-8120-0268
          Q Q 客服:  2970890153
(杭州) 电话|微信:  158-6716-8335
          Q Q 客服:  2668763939
(西安) 电话|微信:  139-0928-9277
          Q Q 客服:  3568192523


您现在位置:网站首页 >> ISO27001认证 >> ISO27001认证ISO27001认证

ISO27001认证:“A.9.4 系统和应用访问控制”条款理解与应用

添加时间:2021/1/14  录入:深圳华道  来源:深圳华道

目的∶防止对系统和应用的未授权访问。

【标准条款】

A.9.4.1 信息访问限制

应按照访问控制策略限制对信息和应用系统功能的访问。

【理解与应用】

对访问的限制宜基于各个业务应用要求,并符合已制定的组织控制访问策略。

为支持访问限制要求,宜考虑应用以下指南

(1)提供控制访问应用系统功能的选择菜单;

(2)控制特定用户可访问的数据;

(3)控制用户的访问权,如读、写、删除和执行;

(4)控制其他应用的访问权;

(5)限制输出中包含的信息;

(6)提供物理或逻辑访问控制以隔离敏感应用程序、应用数据或系统。

 

【标准条款】

A. 9.4.2 安全登录规程

当访问控制策略要求时,应通过安全登录规程控制对系统和应用的访问。

【理解与应用】

宜选择适当的身份鉴别技术以证实用户声称的身份。

在需要强认证和身份验证时,宜使用如密码手段、智能卡、令牌或生物特征识别方法等替代口令的鉴别方法。

登录系统或应用的规程宜设计成可使未授权访问的机会最小化。因此,登录规程宜公开最少的、与系统或应用有关的信息,以避免给未授权用户提供任何不必要的帮助。良好的登录规程宜

(1)不显示系统或应用标识符,直到登录过程已成功完成为止;

(2)显示一般性的警示通告,只有已授权的用户才能访问计算机;

(3)在登录规程执行期间,不提供对未授权用户有帮助作用的帮助消息;

(4)仅在所有输入数据完成时才验证登录信息。如果出现一个差错条件,系统不宜指出数据的哪一部分是正确的或不正确的;

(5)防止暴力破解登录尝试;

(6)记录不成功的尝试和成功的尝试;

(7)当检测到一个潜在的或已经成功的登录控制违规时,则产生一个安全事态;

(8)在成功登录完成时,显示下列信息

——之前成功登录的日期和时间;

——上次成功登录后的任何不成功登录尝试的细节;

(9)不显示正在输入的口令;

(10)不在网络上以明文传输口令;

(11)在设定的不活动的时间段后,终止不活动会话,尤其在高风险区域,例如公共区域、组织安全管理外的区域或移动设备区域;

(12)限制连接次数,为高风险的应用程序提供额外的保护并减少未授权访问的机会。

 

【标准条款】

A. 9.4.3 口令管理系统

口令管理系统应是交互式的,并应确保优质的口令。

【理解与应用】

一个口令管理系统宜

1)强制使用个人用户 ID和口令,以维护可核查性;

2)允许用户选择和变更他们自己的口令,并且包括一个确认规程,以便允许输入出错的情况;

3)强制选择优质口令;

4)在第一次登录时强制用户变更口令;

5)强制定期和根据需要变更口令;

6)维护以前使用过的口令的记录,并防止重复使用;

7)输入口令时,不在屏幕上显示;

8)分开存储口令文件和应用系统数据;

9)以受保护的方式,存储和传输口令。

 

【标准条款】

A.9.4.4 特权实用程序的使用

对于可能超越系统和应用控制的实用程序的使用应予以限制并严格控制。

【理解与应用】

使用可能超越系统和应用的控制的实用程序,宜考虑下列内容

(1)对实用程序使用标识、鉴别和授权规程;

(2)将实用程序与应用软件分开;

(3)将使用实用程序的用户限制到可信的、已授权的最小实际用户数(见 A.9.2.3 特许访问权管理);

(4)对实用程序的临时使用进行授权;

(5)限制实用程序的可用性,例如,在授权变更的期间内;

(6)记录实用程序的所有使用;

(7)对实用程序的授权级别进行定义并形成文件;

(8)移除或禁用所有不必要的实用程序;

(9)当要求职责分离时,禁止访问系统中应用程序的用户使用实用程序。

 

【标准条款】

A.9.4.5 程序源代码的访问控制

应限制对程序源代码的访问。

【理解与应用】

对程序源代码和相关内容(例如设计、说明书、验证计划和确认计划)的访问宜严格控制,以防引入非授权功能,避免无意的变更,并维护有价值的知识产权的保密性。对于程序源代码的保存,可以通过这种代码的受控的集中存储来实现,更好地是放在源程序库中。为了控制对源程序库的访问以减少潜在的计算机程序的破坏,宜考虑如下内容

(1)若有可能,在运行系统中不宜保留源程序库;

(2)程序源代码和源程序库宜根据制定的规程进行管理;

(3)宜限制支持人员访问源程序库;

(4)更新源程序库和有关内容,向程序员发布程序源码宜在获得适当的授权之后进行;

(5)程序列表宜保存在安全的环境中;

(6)宜维护对源程序库所有访问的审计日志;

(7)维护和拷贝源程序库宜受严格变更控制规程的制约(见A.14.2.2系统变更控制规程)。

如需发布源代码,宜考虑采取保护其完整性的额外的控制(如数字签名)。

返回

华道纵横(深圳)企业管理咨询有限公司--海口办事处(筹备) 全国免费电话:4006-010-725  
青岛:市南区中山路10号                     电话|微信:137-9194-1216         QQ:574472821
  北京:海淀区西三环昌运宫紫竹桥         电话|微信:136-8120-0268         QQ:2970890153
  上海:闵行区虹梅南路1755号               电话|微信:152-2175-9315         QQ:2215501312
  杭州:西湖区文三路508号天苑大厦      电话|微信:158-6716-8335         QQ:2668763939
  西安:未央区未央路80号                      电话|微信:139-0928-9277         QQ:3568192523
服务项目海南iso9001认证,海南iso9000认证,海南iso20000认证,海南iso27001认证,海南iso27000认证,海南涉及饮用水卫生安全产品卫生许可批件,海南涉及饮用水卫生安全产品检验检测报告,
海南售后服务认证,海口iso9001认证,海口iso9000认证,海口iso20000认证,海口iso27001认证,海口iso27000认证,海口售后服务认证
服务地区:海口   三亚   三沙   儋州