7、訪問控制

        7.1用戶訪問管理

         應(yīng)有正式的用戶注冊及注銷程序，來授權(quán)和撤銷對所有信息系統(tǒng)及服務(wù)的訪問。

         應(yīng)限制和控制特殊權(quán)限的分配及使用；應(yīng)通過正式的管理過程控制口令的分配，確保口令安全；管理層應(yīng)定期使用正式過程對用戶的訪問權(quán)進(jìn)行復(fù)查。

         7.2用戶職責(zé)

         建立指導(dǎo)用戶選擇和使用口令的指南規(guī)定，使用戶在選擇及使用口令時，遵循良好的安全習(xí)慣。

         用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)，防止未授權(quán)的訪問。

        建立清空桌面和屏幕策略，采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略，IDC并定期組織檢查效果。

        7.3網(wǎng)絡(luò)訪問控制

         建立訪問控制策略，確保用戶應(yīng)僅能訪問已獲專門授權(quán)使用的服務(wù)。

          應(yīng)使用安全地鑒別方法以控制遠(yuǎn)程用戶的訪問，例如口令+證書。

          對于診斷和配置端口的物理和邏輯訪問應(yīng)加以控制，防止未授權(quán)訪問。

         根據(jù)安全要求，應(yīng)在網(wǎng)絡(luò)中劃分安全域，以隔離信息服務(wù)、用戶及信息系統(tǒng)；對于共享的網(wǎng)絡(luò)，特別是越過組織邊界的網(wǎng)絡(luò)，用戶的聯(lián)網(wǎng)能力應(yīng)按照訪問控制策略和業(yè)務(wù)應(yīng)用要求加以限制，并建立適當(dāng)?shù)穆酚煽刂拼胧?/p>

          7.4操作系統(tǒng)訪問控制

          建立一個操作系統(tǒng)安全登錄程序，防止未授權(quán)訪問；所有用戶應(yīng)有唯一的、專供其個人使用的標(biāo)識符（用戶ID），應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)證實用戶所宣稱的身份。

          可能超越系統(tǒng)和應(yīng)用程序控制的管理工具的使用應(yīng)加以限制并嚴(yán)格控制。

          不活動會話應(yīng)在一個設(shè)定的休止期后關(guān)閉；使用聯(lián)機(jī)時間的限制，為高風(fēng)險應(yīng)用程序提供額外的安全。

          7.5應(yīng)用和信息訪問控制

         用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問控制策略加以限制。

         敏感系統(tǒng)應(yīng)考慮系統(tǒng)隔離，使用專用的（或孤立的）計算機(jī)環(huán)境。

         7.6移動計算和遠(yuǎn)程工作

         應(yīng)有正式策略并且采用適當(dāng)?shù)陌踩胧苑婪妒褂靡苿佑嬎愫屯ㄐ旁O(shè)施時所造成的風(fēng)險。

         通過網(wǎng)絡(luò)遠(yuǎn)程訪問IDC，需在通過授權(quán)的情況下對用戶進(jìn)行認(rèn)證并對通信內(nèi)容進(jìn)行加密。

         8、信息系統(tǒng)獲取、開發(fā)和維護(hù)

         8.1安全需求分析和說明

         在新的信息系統(tǒng)或增強(qiáng)已有信息系統(tǒng)的業(yè)務(wù)需求陳述中，應(yīng)規(guī)定對安全控制措施的要求。

          8.2信息處理控制

          輸入應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)加以驗證，以確保數(shù)據(jù)是正確且恰當(dāng)?shù)摹?/p>

          驗證檢查應(yīng)整合到應(yīng)用中，以檢查由于處理的錯誤或故意的行為造成的信息的訛誤。

          通過控制措施，確保信息在處理過程中的完整性，并對處理結(jié)果進(jìn)行驗證。

          8.3密碼控制

          應(yīng)開發(fā)和實施使用密碼控制措施來保護(hù)信息的策略，并保證密鑰的安全使用。

          8.4系統(tǒng)文件的安全

          應(yīng)有程序來控制在運行系統(tǒng)上安裝軟件；試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制；應(yīng)限制訪問程序源代碼。

           8.5開發(fā)過程和支持過程中的安全

          建立變更控制程序控制變更的實施；當(dāng)操作系統(tǒng)發(fā)生變更后，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試，以確保對組織的運行和安全沒有負(fù)面影響。

          IDC應(yīng)管理和監(jiān)視外包軟件的開發(fā)。

          8.6技術(shù)脆弱性管理

         應(yīng)及時得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險。