ISO27001標準附錄 A.11.1　訪問控制的業務要求

ISO27001標準附錄 A.11.1.1　訪問控制策略

【內容解析】

管理層應制定并發布一份訪問控制策略文件，訪問控制策略應滿足組織對業務運行、法律法規、合同和其他特殊情況下的要求。

訪問控制是信息安全的關鍵概念，組織應十分關注訪問控制的運行，并將當前實施狀況與標準本條款的要求進行比較以改進訪問安全。

ISO27001標準附錄 A.11.2　用戶訪問管理

【內容解析】

組織信息處理設施的用戶應按照訪問控制策略并結合相應的方法加以鑒別和授權。

ISO27001標準附錄 A.11.2.1　用戶注冊

【內容解析】

管理層應依據訪問控制策略對需要訪問信息處理系統和應用的用戶實施注冊和注銷賬戶的規程。

ISO27001標準附錄 A.11.2.2　特殊權限管理

【內容解析】

特殊權限在信息安全中十分重要，因為特權是基于信任，通常只授予管理層和特定人員。特殊權限會給組織的資產帶來安全風險，應按照規定策略和指南嚴格控制其分配和使用。

在企業內控方面可以借鑒最小特權原則，即將訪問權限制在履行其職責所需的最低限度。

ISO27001標準附錄 A.11.2.3　用戶口令管理

【內容解析】

口令是用來鑒別用戶身份的一組秘密字符串，用來控制對數據、系統和網絡的訪問?？诹罟芾硎且粋€過程，包含對口令策略（規則）和管理規程的定義、實施和維護。有效的口令管理可降低對信息處理設施和信息的損害風險，保護口令的保密性、完整性和可用性。

ISO27001標準附錄 A.11.2.4　用戶訪問權的復查

【內容解析】

對訪問權應由不負責建立賬戶的有資質的人員進行定期的復查，以確?，F有的訪問權符合其角色和職責。

ISO27001標準附錄 A.11.3　用戶職責

ISO27001標準附錄 A.11.3.1　口令使用

【內容解析】

組織應基于良好的口令實踐建立口令結構，用戶要遵守組織的要求，并建立良好的口令使用習慣。

ISO27001標準附錄 A.11.3.2　無人值守的用戶設備

【內容解析】

當信息處理設施和應用系統處于無人值守時，管理層應有必要的措施確保無人值守的設備得到適當的保護。如當非工作時間，由值班人員對工作場所和設施進行定期巡查等。

ISO27001標準附錄 A.11.3.3　清空桌面和屏幕策略

【內容解析】

當員工一段時間（如開會）不在工作區時，他們的工作區域應確保安全，任何形式的敏感信息未被非授權訪問。對此組織應規定相應的策略或制度。

ISO27001標準附錄 A.11.4　網絡訪問控制

ISO27001標準附錄 A.11.4.1　使用網絡服務的策略

【內容解析】

網絡連接，特別是因特網和無線網連接，需要在信息處理環境中識別風險。管理層對使用網絡服務以及日常監視網絡環境應規定有明確的策略，以確保用戶僅能訪問得到授權的服務。

ISO27001標準附錄 A.11.4.2　外部連接的用戶鑒別

【內容解析】

應采用安全的鑒別方式來控制遠程用戶對信息處理設施的外部網絡連接。常用的鑒別方法有：登錄時要求用戶名和口令。但對重要的系統組織應基于風險考慮其他鑒別方式，如生物鑒別等。

ISO27001標準附錄 A.11.4.3　網絡上的設備標識

【內容解析】

適當時，對網絡上的設備進行標識，是鑒別來自一個特定受控環境和設備的網絡通訊的安全手段。

ISO27001標準附錄 A.11.4.4　遠程診斷和配置端口的保護

【內容解析】

對網絡和通信設備的診斷和遠程端口，組織應嚴密控制，防止未授權的物理和邏輯訪問。

ISO27001標準附錄 A.11.4.5　網絡隔離

【內容解析】

網絡服務是基于網絡的服務，包括因特網服務、內部網絡、無線網絡、IP電話和視頻廣播等。在可能的情況下應將網絡服務在邏輯網絡中進行隔離，以增強控制的深度。

ISO27001標準附錄 A.11.4.6　網絡連接控制

【內容解析】

網絡擴展到組織的邊界之外通常是為了便利與外部第三方供應商或外部商業合作伙伴開展業務活動。從信息安全的角度，對這種網絡連接控制是一種挑戰，而且常被忽略，因為供應商和業務伙伴在使用組織網絡時是受信的。所以組織應實施控制措施來限制用戶的連接能力和對網絡的訪問能力。

ISO27001標準附錄 A.11.4.7　網絡路由控制

【內容解析】

網絡路由的邏輯控制對數據和信息流的控制十分關鍵。網絡路由的控制應與對特定應用和服務的訪問控制相結合。

網絡路由控制通常需要在IT部門選擇具有相關知識的人員來設計和實施本項所要求的控制措施，并最好經過相關專家的確認。

ISO27001標準附錄 A.11.5　操作系統訪問控制

ISO27001標準附錄 A.11.5.1　安全登錄規程

【內容解析】

操作系統的訪問應通過安全設計的登錄和鑒別規程來加以保護，將未授權訪問的機會降低到最小。

ISO27001標準附錄 A.11.5.2　用戶標識和鑒別

【內容解析】

對組織信息處理系統訪問的用戶應有唯一的用戶賬戶，并在允許其訪問系統前采用安全的方式來確認用戶的身份。

ISO27001標準附錄 A.11.5.3　口令管理系統

【內容解析】

應采用系統來管理口令并強制實施口令策略。

口令管理系統通常與網絡相關聯，但也可應用于應用系統和數據庫。

ISO27001標準附錄 A.11.5.4　系統實用工具的使用

【內容解析】

對于超越系統控制的實用工具應限制安裝，如需安裝使用，其使用權限應僅限于指定的管理員。

對實用工具的使用應加以監視并保留記錄。

ISO27001標準附錄 A.11.5.5　會話超時

【內容解析】

操作系統和終端在預定的時間段內，如會話沒有活動應自動加鎖，以防止未授權訪問。

ISO27001標準附錄 A.11.5.6　聯機時間的限定

【內容解析】

對識別為高風險的應用系統，在聯機時間上要有限制，超過約定聯機時間應加鎖或斷開聯機。

ISO27001標準附錄 A.11.6　應用和信息訪問控制

ISO27001標準附錄 A.11.6.1　信息訪問限制

【內容解析】

應用系統具有儲存和處理關鍵、敏感信息和數據的能力。組織對這類數據和信息應依照已確定的訪問控制策略采取保護性的控制措施（例如，限制訪問權限，包括讀、寫、刪除等），以防止未授權的訪問及信息損毀。

ISO27001標準附錄 A.11.6.2　敏感系統隔離

【內容解析】

如果識別為高敏感性的應用系統，應加以隔離、嚴密控制并監視。同時對信息處理系統或應用系統的責任人，也應有相應的隔離要求。

ISO27001標準附錄 A.11.7　移動計算和遠程工作

ISO27001標準附錄 A.11.7.1　移動計算和通信

【內容解析】

移動計算是指可改變位置的計算裝置，通常包括便攜式計算機（WearableComputer）、PDISO27001標準附錄 A.⒊兌貧縋?、智纳愔机、车载紦溷机（carputer）。

移動計算的使用，因為處在受控的網絡環境之外，所以是組織面臨的特殊風險。需要組織策劃相應的控制措施。

ISO27001標準附錄 A.11.7.2　遠程工作

【內容解析】

遠程工作是指利用信息通信技術（ICT）使工作能在遠離工作結果產生的地點進行，例如，居家遠程工作（Home-basedtelework）。

遠程工作者需要訪問組織的資源，包括內部應用系統和信息。所以組織應明確遠程工作策略，并針對從外部訪問組織資源的相關風險，開發和實施特定的控制和防護措施。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202008/ccaa_5466.html