ISO/IEC 27001:2013 - 系统与应用访问控制策略详解

"这篇文档是关于信息技术安全标准ISO/IEC 27001:2013中关于系统和应用访问控制以及用户访问管理的详细规定。它旨在确保只有授权用户能访问系统和服务，并防止未经授权的访问，同时强调用户在保护信息安全中的职责。文档涵盖了用户注册注销、访问开通、特殊访问权限管理、秘密鉴别信息管理、访问权限复查以及访问权限撤销或调整等多个方面。此外，还提到了用户职责，要求用户在使用秘密鉴别信息时遵循组织的实践，以增强系统的安全防护。" 在ISO/IEC 27001:2013标准中，用户访问管理是信息安全管理体系的重要组成部分，主要包含以下几个关键点： 1. **用户注册及注销**：正式的注册和注销规程确保了访问权限的正确分配，避免了无主账号的存在，从而降低了系统被滥用的风险。 2. **用户访问开通**：通过正规的流程分配或撤销访问权限，保证了权限管理的规范性，防止权限被错误或非法授予。 3. **特殊访问权限管理**：限制和控制特殊权限的分配，防止关键系统资源被不应有访问权限的用户获取。 4. **用户秘密鉴别信息管理**：通过管理过程控制秘密鉴别信息（如密码）的分发，防止信息泄露，确保用户身份验证的安全性。 5. **用户访问权限复查**：资产所有者定期审核用户的访问权限，确保权限设置与用户角色和工作职责相匹配，及时调整过时或不适当的访问权限。 6. **撤销或调整访问权限**：在员工离职或合同结束时，及时撤销其访问权限，同时在用户职责变更时进行权限调整，防止权限滥用。 7. **用户职责**：用户需承担保护认证信息安全的责任，遵循组织的实践，正确使用秘密鉴别信息，保障系统的安全登录。 8. **系统和应用访问控制**：限制对信息和应用系统的访问，依据访问控制策略来防止未经授权的访问，确保系统和应用的完整性。 9. **安全登录规程**：通过安全登录规程来控制对操作系统和应用的访问，强化了认证和授权机制。 这些控制措施共同构成了一个完整的访问控制框架，旨在提供一个安全的环境，保护组织的信息资产免受未授权访问的威胁。在实际操作中，组织应根据自身情况制定相应的政策和流程，以符合ISO/IEC 27001标准的要求。