本条控制措施和A.11.3.1的描述基本一致
299从ISO/IEC 27002: 2013来看,本条控制措施和A.11.3.1的描述基本一致。主要区别在于“其他信息”中有一个与时俱进的变化,特别提出Single Sign On(单点登录),描述如下:Provision of Single Sign On (SSO) or other secret authentica -tion information management tools reduces the amount of secret authentication information that users are required to protect and thus can increase the effectiveness of this control. However, these tools can also increase the impact of disclosure of secret authentication information(提供单点登录设备或其他秘密鉴别信息管理工具减少了用户需要保护的信息从而提高了控制的有效性,但是这些工具同时增加了秘密鉴别信息泄漏后的影响)。
300加这一控制措施变化比较多,其改动情况如下所示
301口令,password。
3021SO/IEC 27001:2005的A.11.5.4标题为use of system utilities,在ISO/IEC 27001:2013中修改为use of priviledged utility programs,但是对应的ISO/IEC 27002: 2013中具体内容变化不大。
303这个控制措施在ISO/IEC 27002: 2013中没有给“其他信息”,有一句倒是加得很好:If the program source code is intend -ed to be published, additional controls to help getting assurance on its integrity (e.g.digital signature) should be considered (如果程序源代码准备公布,宜考虑额外的控制措施保障其完整性,例如数字签名)。这个很好,也是一个比较贴切的强调“完整性”的例子。当然,在国内的信息安全实践中,有更贴切的例子:领导讲话稿。