8 | Technological controls 技术控制(ISO/IEC 27001: 2022 附录A) | |
8.1 | User end point devices 用户终端设备 | Control 控制 Information stored on, processed by or accessible via user end point devices shall be protected. 存储在、由用户终端设备处理或通过用户终端设备访问的信息应受到保护。 |
8.2 | Privileged access rights 特许访问权 | Control 控制 The allocation and use of privileged access rights shall be restricted and managed. 应限制和管理特许访问权的分配和使用。 |
8.3 | Information access restriction 信息访问限制 | Control 控制 Access to information and other associated assets shall be restricted in accordance with the established topic-specific policy on access control. 应按照建立的访问控制的特定主题策略限制信息和其他关联的资产的访问。 |
8.4 | Access to source code 源代码的访问 | Control 控制 Read and write access to source code, development tools and software libraries shall be appropriately managed. 对源代码、开发工具和软件库的读写访问应得到适当的管理。 |
8.5 | Secure authentication 安全鉴别 | Control 控制 Secure authentication technologies and procedures shall be implemented based on information access restrictions and the topic-specific policy on access control. 应基于信息安全访问限制和访问控制的特定主题策略,实施安全鉴别技术和规程。 |
A.6 信息安全组织(ISO/IEC 27001: 2013 附录A) | ||
A.6.2 移动设备和远程工作 | ||
目标:确保移动设备远程工作及其使用的安全。 | ||
A.6.2.1 | 移动设备策略 | 控制 应采用相应的策略及其支持性的安全措施以管理由于使用移动设备所带来的风险。 |
A.9 访问控制(ISO/IEC 27001: 2013 附录A) | ||
A.9.2 用户访问管理 | ||
目标:确保授权用户对系统和服务的访问,并防止未授权的访问。 | ||
A.9.2.3 | 特许访问权管理 | 控制 应限制并控制特许访问权的分配和使用。 |
A.9.4 系统和应用访问控制 | ||
目标:防止对系统和应用的未授权访问。 | ||
A.9.4.1 | 信息访问限制 | 控制 应按照访问控制策略限制对信息和应用系统功能的访问。 |
A.9.4.2 | 安全登录规程 | 控制 当访问控制策略要求时,应通过安全登录规程控制对系统和应用的访问。 |
A.9.4.5 | 程序源代码的访问控制 | 控制 应限制对程序源代码的访问。 |
A.11 物理和环境安全(ISO/IEC 27001: 2013 附录A) | ||
A.11.2 设备 | ||
目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。 | ||
A.11.2.8 | 无人值守的用户设备 | 控制 用户应确保无人值守的用户设备有适当的保护。 |
控制解析:
- 新版中的这些控制项(A.8.1 & A.8.2 & A.8.3 & A.8.4 & A.8.5)都能在ISO/IEC 27001: 2013中找到对应的控制项。ISO/IEC 27001: 2013中的A.6.2.1和A.11.2.8,在新版中合并成了A.8.1。
- 新版中的这些控制项(A.8.1 & A.8.2 & A.8.3 & A.8.4 & A.8.5)主要来自ISO/IEC 27001: 2013中A.9 访问控制,都是属于访问控制这块的要求。ISO/IEC 27001: 2013中A.9 访问控制还有一部分控制项划入到新版的A.5组织控制中。
- 在编写的书面访问控制策略(A.5)应包含这些控制项(A.8.1 & A.8.2 & A.8.3 & A.8.4 & A.8.5)的控制要求,并通过《访问控制程序》(A.5)将访问控制策略的要求整合到相关业务过程(如IT运维、IT开发、设备等)。
- 用户终端设备可能包括:移动办公电脑、移动手机、办公电脑、工控主机、服务器等。对于这些设备的访问,应通过相应的访问控制技术对设备或信息的访问加以限制,如:(1)移动办公电脑设置口令、硬盘设置口令保护,通过VPN/零信任访问内部系统;(2)无人看守的设备(如工控主机)采取设置口令和强制锁屏等(A.8.1)。
- 超越一般用户访问权都可以看作是特许访问权,如审计人员拥有系统全部模块数据的访问权限,系统维护人员的账户权限等(A.8.2)。
- 系统管理人员应根据访问控制策略对信息和应用模块做出限制,例如,重要商业秘密信息,除授权人员外,应在系统限制其他用户访问或做脱密处理(A.8.3)。
- 源代码、开发工具和软件库的读写权限要有相应的限制(A.8.4)。
- 应根据访问控制策略,设计安全的登录过程,如选择适当的鉴别信息(口令、指纹、生物信息等)或二次认证(如口令+指纹);登录时,登录框不保存账户和口令,不提示账户或口令错误、5次口令错误锁定账户等(A.8.5)。
实施本控制应输出的文档:
- 访问控制策略。
- 各种设备(移动办公电脑、移动手机、办公电脑、工控主机、服务器等)、信息系统等信息处理设施的安全管理规范或指南。
- 信息系统权限分配表。
本控制审核要点:
- 审核访问控制策略是否包含这些控制项(A.8.1 & A.8.2 & A.8.3 & A.8.4 & A.8.5)的控制要求。
- 抽查员工办公电脑是否设置口令,无人值守的工控主机是否设置口令和锁屏等。
- 审核特权用户清单,询问特权用户开通缘由,是否有必要开通特权账户,能否提供相关申请授权记录等。
- 审核关键业务系统,查看系统权限分配表,了解是否对于业务数据访问权限有做横向隔离控制,抽查用户,现场试验横向隔离控制是否有效。
- 审核源代码库的相关用户和权限,对于源代码库的访问是否有做访问限制。
- 检查信息系统安全设置,如5次口令错误锁定账户,自动强制设置符合要求的口令等。