| A.9 访问控制 | ||
| A.9.1 访问控制的业务要求 | ||
| 目标:限制对信息和信息处理设施的访问。 | ||
| A.9.1.1 | 访问控制策略 | 控制 应基于业务和信息安全要求,建立访问控制策略,形成文件并进行评审。 |
| A.9.1.2 | 网络和网络服务的访问 | 控制 应仅向用户提供他们已获专门授权使用的网络和网络服务的访问。 |
控制解析:
- 实施“A.9 访问控制”应形成书面的《信息及其处理设施访问管理规范》。
- 应建立书面的访问控制策略,如各级别信息的访问限制,访问授权流程等。
- 应建立网络和网络服务使用的策略,如允许被访问的网络(如外网)和网络服务(个人微信和QQ),网络和网络服务授权流程等。
实施本控制应输出的文档:
- 《信息及其处理设施访问管理规范》,访问控制策略和网络和网络服务使用的策略。
- 网络和网络服务权限申请记录。
本控制审核要点:
- 检查访问控制策略和网络和网络服务使用的策略。
- 检查《信息及其处理设施访问管理规范》是否涵盖“A.9 访问控制”全部内容,检查是否按照《信息及其处理设施访问管理规范》执行,并查看相关记录。
- 了解网络和网络服务使用的策略,抽查员工网络和网络服务权限申请记录。
