访问控制规定谁可以访问信息资源以及可以对其执行什么操作。
访问控制是限制系统、网络和数据访问的策略、程序和技术机制。ISO 27002分为逻辑(认证、授权)和物理(限制区域)。最小权限和职责分离是关键基础。
每个用户只应拥有执行其职能所需的最小权限。过度访问是审核中的常见发现。
ISO 27002建议对特权访问和关键系统使用MFA,结合知识、拥有和固有因素。
必须定期审查权限,当协作者角色变更或离职时撤销。
基于角色的访问控制将权限分配给角色而非个人用户。简化大型组织的管理。
不仅限于此。还包括物理控制(生物识别、监控)和管理控制(策略、用户开通程序)。
需要此领域的评估?