访问控制在ISO/IEC 27001
2018-04-17 14:15:44 | 来源:中培企业IT培训网
279访问控制在ISO/IEC 27001:2005中是A.11.访问控制不但是逻辑上的还是物理上的。
280在ISO/IEC 27001:2005中是“控制(control)”,在ISO/IEC 27001:2013中修改成了“限制(limit)”。 281策略用的是policy。
282形成文件,在英文中就一个词汇documented。Doument在英文中含义比较多,既可以是文件,又可以是记录。在ISO/ IEC 27001:2005中经常出现record做记录用,在ISO/IEC 27001:2013只有讨论日志(log)的时候采用这个词汇。
283在ISO/IEC 27001:2005中本节在A.11.4网络访问控制中,其中不但包括了用户访问的问题,还有网络隔离等网络安全相关的内容,逻辑上不太清晰,这次网络和网络服务访问单独拿出来,系统和应用访问服务还是单独的A.9.4。
284服务是新加的,在ISO/IEC 27001: 2005只强调了信息系统,而且没用广义的系统。
285在ISO/IEC 27002: 2005的应用指南中,这是个给了一堆建议的条款,但是ISO/IEC 27002: 2013中砍掉了大部分的描述, 现在保留的只有4项了。
286用户注册和注销的要求是正式的process(过程),不是规程(procedure)。这种控制措施宜用技术手段来实现,而不仅仅是纸上的制度。