7、訪問控制

        7.1用戶訪問管理

         應有正式的用戶注冊及注銷程序，來授權和撤銷對所有信息系統(tǒng)及服務的訪問。

         應限制和控制特殊權限的分配及使用；應通過正式的管理過程控制口令的分配，確?？诹畎踩?；管理層應定期使用正式過程對用戶的訪問權進行復查。

         7.2用戶職責

         建立指導用戶選擇和使用口令的指南規(guī)定，使用戶在選擇及使用口令時，遵循良好的安全習慣。

         用戶應確保無人值守的用戶設備有適當?shù)谋Ｗo，防止未授權的訪問。

        建立清空桌面和屏幕策略，采取清空桌面上文件、可移動存儲介質的策略和清空信息處理設施屏幕的策略，IDC并定期組織檢查效果。

        7.3網(wǎng)絡訪問控制

         建立訪問控制策略，確保用戶應僅能訪問已獲專門授權使用的服務。

          應使用安全地鑒別方法以控制遠程用戶的訪問，例如口令+證書。

          對于診斷和配置端口的物理和邏輯訪問應加以控制，防止未授權訪問。

         根據(jù)安全要求，應在網(wǎng)絡中劃分安全域，以隔離信息服務、用戶及信息系統(tǒng)；對于共享的網(wǎng)絡，特別是越過組織邊界的網(wǎng)絡，用戶的聯(lián)網(wǎng)能力應按照訪問控制策略和業(yè)務應用要求加以限制，并建立適當?shù)穆酚煽刂拼胧?/p>

          7.4操作系統(tǒng)訪問控制

          建立一個操作系統(tǒng)安全登錄程序，防止未授權訪問；所有用戶應有唯一的、專供其個人使用的標識符（用戶ID），應選擇一種適當?shù)蔫b別技術證實用戶所宣稱的身份。

          可能超越系統(tǒng)和應用程序控制的管理工具的使用應加以限制并嚴格控制。

          不活動會話應在一個設定的休止期后關閉；使用聯(lián)機時間的限制，為高風險應用程序提供額外的安全。

          7.5應用和信息訪問控制

         用戶和支持人員對信息和應用系統(tǒng)功能的訪問應依照已確定的訪問控制策略加以限制。

         敏感系統(tǒng)應考慮系統(tǒng)隔離，使用專用的（或孤立的）計算機環(huán)境。

         7.6移動計算和遠程工作

         應有正式策略并且采用適當?shù)陌踩胧?，以防范使用移動計算和通信設施時所造成的風險。

         通過網(wǎng)絡遠程訪問IDC，需在通過授權的情況下對用戶進行認證并對通信內(nèi)容進行加密。

         8、信息系統(tǒng)獲取、開發(fā)和維護

         8.1安全需求分析和說明

         在新的信息系統(tǒng)或增強已有信息系統(tǒng)的業(yè)務需求陳述中，應規(guī)定對安全控制措施的要求。

          8.2信息處理控制

          輸入應用系統(tǒng)的數(shù)據(jù)應加以驗證，以確保數(shù)據(jù)是正確且恰當?shù)摹?/p>

          驗證檢查應整合到應用中，以檢查由于處理的錯誤或故意的行為造成的信息的訛誤。

          通過控制措施，確保信息在處理過程中的完整性，并對處理結果進行驗證。

          8.3密碼控制

          應開發(fā)和實施使用密碼控制措施來保護信息的策略，并保證密鑰的安全使用。

          8.4系統(tǒng)文件的安全

          應有程序來控制在運行系統(tǒng)上安裝軟件；試數(shù)據(jù)應認真地加以選擇、保護和控制；應限制訪問程序源代碼。

           8.5開發(fā)過程和支持過程中的安全

          建立變更控制程序控制變更的實施；當操作系統(tǒng)發(fā)生變更后，應對業(yè)務的關鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。

          IDC應管理和監(jiān)視外包軟件的開發(fā)。

          8.6技術脆弱性管理

         應及時得到現(xiàn)用信息系統(tǒng)技術脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當?shù)拇胧﹣硖幚硐嚓P的風險。