9 Kiểm soát truy cập
9.1.1 Chính sách kiểm soát truy cập
Các yêu cầu thương mại đối với việc kiểm soát truy cập nên được xác định và lập tài liệu. Các nguyên tắc và các quyền kiểm soát truy cập đối với mỗi người dùng nên được phát biểu rõ trong trình bày chính sách truy cập. Những người sử dụng và các nhà cung cấp dịch vụ nên được đưa ra sự trình bày rõ ràng các yêu cầu thương mại để được các kiểm soát truy cập đáp ứng.
Chính sách nên đưa vào trương mục những điều khoản sau: a) các yêu cầu bảo mật của các ứng dụng thương mại các thể;
b) việc xác định tất cả thông tin liên quan đến các ứng dụng thương mại;
c) các chính sách đối với việc phổ biến và cấp phép thông tin, ví dụ, yêu cầu cần biết nguyên lý và các cấp bảo mật, và sự phân loại thông tin;
d) sự phù hợp giữa kiểm soát truy cập và các chính sách phân loại thông tin của những hệ thống và mạng khác nhau;
e) luật định liên quan và bất kì nghĩa vụ hợp đồng nào về sự bảo vệ truy cập dữ liệu hay các dịch vụ (xem điều 12);
f) các mô tả sơ lược truy cập người sử dụng tiêu chuẩn đối với những kiểu công việc thông thường;
g) việc quản lí các quyền truy cập trong môi trường phân phối và mạng, mà nhận ra tất cả các kiểu kết nối có sẵn.
9.1.1.2 Các nguyên tắc kiểm soát truy cập
Trong việc xác định các nguyên tắc kiểm soát truy cập, nên có sự quan tâm chú ý đến những điều sau:
a) phân biệt giữa các nguyên tắc mà phải luôn được tuân thủ và các nguyên tắc mà là tuỳ chọn hay có điều kiện;
b) thiết lập các nguyên tắc dựa trên giả thuyết "Cái gì phải bị ngăn cấm trừ khi được cho phép một cách rõ ràng" hơn là nguyên tắc yếu kém "Mọi thứ đều được cho phép trừ khi bị ngăn cấm hoàn toàn";
c) các thay đổi trên các nhãn thông tin (xem 5.2), mà được bắt đầu một cách tự động bằng các điều kiện xử lí thông tin và các nhãn được khởi đầu với sự tuỳ chọn của người dùng;
d) các thay đổi trong các quyền sử dụng mà được bắt đầu một cách tự động bởi hệ thống thông tin và các quyền được khởi đầu bởi quản trị viên;
e) các nguyên tắc mà đòi hỏi quản trị viên hay sự đồng ý khác trước khi ban hành và các nguyên tắc mà không đòi hỏi.