组织应建立正式的用户注册及注销规程。用户ID管理过程应该包括:
1)一使用唯上用户ID,使得用户与其行为链接起来,并对其行为负责;殖对于业务或操作而言必要时,才允许使用组ID,并宜经过批准和形成文件;
2)立即关闭或移除离开组织的用户ID,将其作为雇员离职或承包商验收的一个必须环
节;
3)定期核查并取消或封锁多余的、长期未使用的用户ID和账号; 4)确保多余的用户ID不会发给其他用户。
组织要对用户ID分配或吊销访问权限,宜考虑基于业务要求建立不同的用户访问角色, 将一部分访问权赋予典型的用户访角色中。
特殊访问权限的分配应通过符合相关控制方针的正式授权过程加以控制。
秘密验证信息,通常是密码、或者加密密钥和存储在硬件令牌的生成验证码的其他数据(如智能卡),要建立正式的管理过程进行控制。
管理者应定期对用户的访问权进行复查。包括要定期和在任何重大变更之后对用户的访问权进行复查,包括提升、降级或雇用终止,以及变换岗位时。对于特定的特殊权限的访问权的授权要在更频繁的时间间隔内进行复查;要定期核查特殊权限的分配访问控制表,以确保不能获得未授权的特殊权限。
所有的雇员和承包商委派人员在终止任用、合同或协议时,应终止并移除其访问权限。 任用终止时,个人对与信息处理设备系统和服务有关的信息和资产的访问权宜清除或暂停。 宜删除或改变的访问权包括物理和逻辑访问。对于组ID,离开的人员要从组访问列表中删除,还要建议所有相关的其他雇员和外部人员不宜再与已离开的人员共享信息。
用户应遵循组织在使用秘密验证信息时的习惯,保密秘密验证信息,确保其不被泄露至包括授权人员在内的任何人。避免保留秘密验证信息的记录(例如在纸上、软件文件中或手持设备中),当使用口令作为秘密验证信息时,建议选择尽可能长的容易记忆的密码。个人用户的秘密验证信息不允许共享;当使用口令作为秘密验证信息时,在自动登录过程中确保口令得到保护;要求雇员和承包商委派人员工作中和生活中使用不同的秘密验证信息。