信息安全之访问控制
2018-04-02 20:16:02 | 来源:中培企业IT培训网
5.2.5 访问控制
访问控制包含4个控制目标14个控制措施。
组织应建立统一的访问控制策略并形成正式文件。资产责任人应决定访问其资产的指定用户的适当的访问控制规程、访问权利和限制,访问控制策略需有适量的细节和严格的控制措施,以反映相关的信息安全风险。访问控制包括逻辑的和物理的,它们要一起考虑。要给用户和服务提供商提供一份清晰的满足业务要求的说明。在规定访问控制规则时,建议在
“未经明确允许,则一律禁止”的前提下,而不是“未经明确禁止,一律允许”的弱规则的基础上建立规则。访问控制策略需适用于物理环境、网络、服务器、终端、应用系统和信息等多类对象,并分别留存不同用户的访问控制授权记录。
组织要制定关于使用网络和网络服务的策略。网络服务使用策略要与业务访问控制策略相一致,并保存网络日志。
- 上一篇:信息安全之资产管理二
- 下一篇:信息安全之访问控制二
猜你喜欢
预约领优惠
在线预约,领取限时优惠!