信息安全之访问控制

5.2.5  访问控制

访问控制包含4个控制目标14个控制措施。

　　组织应建立统一的访问控制策略并形成正式文件。资产责任人应决定访问其资产的指定用户的适当的访问控制规程、访问权利和限制，访问控制策略需有适量的细节和严格的控制措施，以反映相关的信息安全风险。访问控制包括逻辑的和物理的，它们要一起考虑。要给用户和服务提供商提供一份清晰的满足业务要求的说明。在规定访问控制规则时，建议在

“未经明确允许，则一律禁止”的前提下，而不是“未经明确禁止，一律允许”的弱规则的基础上建立规则。访问控制策略需适用于物理环境、网络、服务器、终端、应用系统和信息等多类对象，并分别留存不同用户的访问控制授权记录。

组织要制定关于使用网络和网络服务的策略。网络服务使用策略要与业务访问控制策略相一致，并保存网络日志。