2011年10月20日 星期四

[觀點] 解析資訊安全控制措施(八) - 存取控制的資安要求(下)

上一期談到了ISO 27001中有關存取控制的營運要求,組織需要建立存取控制的政策和使用者的存取管理,包括像是註冊要求、密碼管理和確保無人看管設備的安全責任等,接下來將說明和網路、作業系統、應用系統的存取控制要求。

在A.11「存取控制」的要求中,第四個控制項目為A.11.4「網路存取控制」,其目標是要確保組織所提供或使用的網路服務,避免受到任何未經授權的存取,因此需要採取一些控管作法,來確保網路本身和使用者在利用時,不會發生安全上的問題,危害到組織的整體營運。