10. Quản lý truy cập.
10.1.1. Chính sách quản lý truy cập
Biện pháp quản lý
Chính sách quản lý truy cập cần được thiết lập, ghi thành văn bản và soát xét dựa trên các yêu cầu nghiệp vụ và an toàn đối với các truy cập.
Hướng dẫn triển khai
Các quyền và nguyên tắc quản lý truy cập đối với mỗi người dùng hoặc nhóm người dùng cần được công bố rõ ràng trong chính sách quản lý truy cập. Các biện pháp quản lý truy cập phải bao gồm cả về mặt logic và vật lý (xem trong điều 8) và chúng phải được xem xét đồng thời. Các nhà cung cấp dịch vụ và người dùng cần được tuyên bố rõ ràng về các yêu cầu nghiệp vụ phải được đáp ứng bởi với các biện pháp quản lý truy cập.
a) các yêu cầu về an toàn thông tin của các ứng dụng nghiệp vụ riêng;
b) nhận diện tất cả các thông tin liên quan tới các ứng dụng nghiệp vụ và các rủi ro đối với thông tin. c) các chính sách về cấp phép và phổ biến thông tin, ví dụ nhu cầu phải biết về nguyên tắc và các mức độ an toàn thông tin và phân loại thông tin (xem 6.2);
d) sự thống nhất các chính sách quản lý truy cập và phân loại thông tin của các mạng và các hệ thống khác nhau;
e) quy định của pháp luật và các nghĩa vụ thỏa thuận bất kỳ liên quan đến việc bảo vệ truy cập dữ liệu hoặc các dịch vụ (xem 14.1)
f) các hồ sơ truy cập chuẩn của người dùng đối với các vai trò nhiệm vụ chung trong tổ chức;
g) việc quản lý các quyền truy cập trong một môi trường nối mạng và phân tán, môi trường này nhận ra tất cả các dạng kết nối sẵn có;
h) việc phân tách các vai trò quản lý truy cập, ví dụ yêu cầu truy cập, việc cấp phép truy cập, quản trị truy cập;
i) các yêu cầu đối với việc cấp phép chính thức cho các yêu cầu truy cập (xem 10.2.1); j) các yêu cầu đối với việc soát xét định kỳ những biện pháp quản lý truy cập;
k) loại bỏ các quyền truy cập (xem 7.3.3). Thông tin khác
Cần quan tâm tới các vấn đề sau khi xác định các quy tắc quản lý truy cập:
a) phân biệt giữa các quy tắc luôn phải tuân theo và các hướng dẫn có tính chất lựa chọn hoặc điều kiện;
b) thiết lập các quy tắc dựa trên tiêu chí “mọi thứ đều bị cấm trừ khi được công bố cho phép"
c) những thay đổi trong các nhãn thông tin (xem 6.2) được khởi tạo tự động bởi các phương tiện xử lý thông tin và do ý muốn của một người dùng;
d) những thay đổi về việc cho phép người dùng được khởi tạo tự động bởi hệ thống thông tin và bởi một người quản trị hệ thống;
e) các quy tắc đòi hỏi hoặc không đòi hỏi phải được chấp thuận trước khi ban hành.
Các quy tắc quản lý truy cập cần được hỗ trợ bởi các thủ tục chính thức và các trách nhiệm đã được xác định rõ (ví dụ, xem 5.1.3; 10.3; 9.4.1; 10.6)