7、訪問(wèn)控制

        7.1用戶訪問(wèn)管理

         應(yīng)有正式的用戶注冊(cè)及注銷程序，來(lái)授權(quán)和撤銷對(duì)所有信息系統(tǒng)及服務(wù)的訪問(wèn)。

         應(yīng)限制和控制特殊權(quán)限的分配及使用；應(yīng)通過(guò)正式的管理過(guò)程控制口令的分配，確保口令安全；管理層應(yīng)定期使用正式過(guò)程對(duì)用戶的訪問(wèn)權(quán)進(jìn)行復(fù)查。

         7.2用戶職責(zé)

         建立指導(dǎo)用戶選擇和使用口令的指南規(guī)定，使用戶在選擇及使用口令時(shí)，遵循良好的安全習(xí)慣。

         用戶應(yīng)確保無(wú)人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)，防止未授權(quán)的訪問(wèn)。

        建立清空桌面和屏幕策略，采取清空桌面上文件、可移動(dòng)存儲(chǔ)介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略，IDC并定期組織檢查效果。

        7.3網(wǎng)絡(luò)訪問(wèn)控制

         建立訪問(wèn)控制策略，確保用戶應(yīng)僅能訪問(wèn)已獲專門授權(quán)使用的服務(wù)。

          應(yīng)使用安全地鑒別方法以控制遠(yuǎn)程用戶的訪問(wèn)，例如口令+證書。

          對(duì)于診斷和配置端口的物理和邏輯訪問(wèn)應(yīng)加以控制，防止未授權(quán)訪問(wèn)。

         根據(jù)安全要求，應(yīng)在網(wǎng)絡(luò)中劃分安全域，以隔離信息服務(wù)、用戶及信息系統(tǒng)；對(duì)于共享的網(wǎng)絡(luò)，特別是越過(guò)組織邊界的網(wǎng)絡(luò)，用戶的聯(lián)網(wǎng)能力應(yīng)按照訪問(wèn)控制策略和業(yè)務(wù)應(yīng)用要求加以限制，并建立適當(dāng)?shù)穆酚煽刂拼胧?/p>

          7.4操作系統(tǒng)訪問(wèn)控制

          建立一個(gè)操作系統(tǒng)安全登錄程序，防止未授權(quán)訪問(wèn)；所有用戶應(yīng)有唯一的、專供其個(gè)人使用的標(biāo)識(shí)符（用戶ID），應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)證實(shí)用戶所宣稱的身份。

          可能超越系統(tǒng)和應(yīng)用程序控制的管理工具的使用應(yīng)加以限制并嚴(yán)格控制。

          不活動(dòng)會(huì)話應(yīng)在一個(gè)設(shè)定的休止期后關(guān)閉；使用聯(lián)機(jī)時(shí)間的限制，為高風(fēng)險(xiǎn)應(yīng)用程序提供額外的安全。

          7.5應(yīng)用和信息訪問(wèn)控制

         用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問(wèn)應(yīng)依照已確定的訪問(wèn)控制策略加以限制。

         敏感系統(tǒng)應(yīng)考慮系統(tǒng)隔離，使用專用的（或孤立的）計(jì)算機(jī)環(huán)境。

         7.6移動(dòng)計(jì)算和遠(yuǎn)程工作

         應(yīng)有正式策略并且采用適當(dāng)?shù)陌踩胧苑婪妒褂靡苿?dòng)計(jì)算和通信設(shè)施時(shí)所造成的風(fēng)險(xiǎn)。

         通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)IDC，需在通過(guò)授權(quán)的情況下對(duì)用戶進(jìn)行認(rèn)證并對(duì)通信內(nèi)容進(jìn)行加密。

         8、信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)

         8.1安全需求分析和說(shuō)明

         在新的信息系統(tǒng)或增強(qiáng)已有信息系統(tǒng)的業(yè)務(wù)需求陳述中，應(yīng)規(guī)定對(duì)安全控制措施的要求。

          8.2信息處理控制

          輸入應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)加以驗(yàn)證，以確保數(shù)據(jù)是正確且恰當(dāng)?shù)摹?/p>

          驗(yàn)證檢查應(yīng)整合到應(yīng)用中，以檢查由于處理的錯(cuò)誤或故意的行為造成的信息的訛誤。

          通過(guò)控制措施，確保信息在處理過(guò)程中的完整性，并對(duì)處理結(jié)果進(jìn)行驗(yàn)證。

          8.3密碼控制

          應(yīng)開(kāi)發(fā)和實(shí)施使用密碼控制措施來(lái)保護(hù)信息的策略，并保證密鑰的安全使用。

          8.4系統(tǒng)文件的安全

          應(yīng)有程序來(lái)控制在運(yùn)行系統(tǒng)上安裝軟件；試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制；應(yīng)限制訪問(wèn)程序源代碼。

           8.5開(kāi)發(fā)過(guò)程和支持過(guò)程中的安全

          建立變更控制程序控制變更的實(shí)施；當(dāng)操作系統(tǒng)發(fā)生變更后，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試，以確保對(duì)組織的運(yùn)行和安全沒(méi)有負(fù)面影響。

          IDC應(yīng)管理和監(jiān)視外包軟件的開(kāi)發(fā)。

          8.6技術(shù)脆弱性管理

         應(yīng)及時(shí)得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露程度，并采取適當(dāng)?shù)拇胧﹣?lái)處理相關(guān)的風(fēng)險(xiǎn)。