10. Quản lý truy cập.
10.2.1. Đăng ký người dùng
Biện pháp quản lý
Cần thiết phải có một thủ tục chính thức về đăng ký và hủy đăng ký người dùng để thực hiện cấp phát hoặc thu hồi quyền truy cập đến tất cả các hệ thống và dịch vụ thông tin.
Hướng dẫn triển khai
Thủ tục quản lý truy cập cho đăng ký hoặc hủy đăng ký người dùng cần bao gồm những điều sau:
a) sử dụng các ID người dùng duy nhất nhằm cho phép nhiều người dùng có thể được liên kết tới và giữ trách nhiệm đối với các hoạt động của họ; việc sử dụng các ID nhóm chỉ được cho phép nếu chúng cần thiết cho các lý do điều hành hoặc nghiệp vụ, và cần được phê duyệt và ghi vào văn bản.
b) kiểm tra xem người dùng đã được chủ sở hữu hệ thống cấp phép sử dụng hệ thống hoặc dịch vụ thông tin chưa; có thể cũng phù hợp nếu phê chuẩn riêng các quyền truy cập từ ban quản lý; c) kiểm tra xem mức độ truy cập được cấp có phù hợp với mục đích nghiệp vụ (xem 10.1) và phù hợp với chính sách an ninh của tổ chức không, ví dụ nó không gây ảnh hưởng tới việc phân tách nhiệm vụ (xem 9.1.3)
d) cấp cho người dùng một tờ thông báo về các quyền truy cập của họ;
e) yêu cầu người dùng ký vào các tờ thông báo rằng họ đã hiểu các điều kiện truy cập;
f) đảm bảo rằng các nhà cung cấp dịch vụ không cung cấp truy cập cho tới khi đã hoàn tất các thủ tục cấp phép;
g) duy trì một hồ sơ chính thức về tất cả những người đã đăng ký sử dụng dịch vụ;
h) lập tức loại bỏ hoặc chặn các quyền truy cập của những người dùng đã thay đổi vai trò hoặc công việc hoặc nghỉ việc;
i) kiểm tra định kỳ, loại bỏ hoặc chặn các ID người dùng và các tài khoản thừa (xem 10.2.4); j) đảm bảo rằng các ID thừa không được cấp cho những người dùng khác.
Thông tin khác
Cần quan tâm đến việc thiết lập các vai trò truy cập của người dùng dựa trên các yêu cầu nghiệp vụ, các yêu cầu này tóm tắt nhiều quyền truy cập thành các hồ sơ truy cập riêng của người dùng. Các yêu cầu và các soát xét truy cập (xem 10.2.4) sẽ được quản lý dễ dàng ở cấp độ vai trò hơn ở cấp các quyền cụ thể.
Cần quan tâm đến các điều khoản của các hợp đồng cá nhân và hợp đồng dịch vụ trong đó nói đến các hình phạt đối với các truy cập trái phép thực hiện bởi cá nhân hoặc các phòng dịch vụ (xem thêm 5.1.5, 7.1.3 và 8.2.3)