9 Kiểm soát truy cập
9.2.2 quản lý đặc quyền
Sự phân phối và sử dụng các đặc quyền (bất kỳ đặc trưng hoặc khả năng của hệ thống thông tin nhiều người sử dụng cùng lúc cho phép người sử dụng vượt qua các kiểm soát hệ thống hoặc ứng dụng) nên được hạn chế và kiểm sốt. Việc sử dụng khơng phù hợp các đặc quyền hệ thống thướng là nhân tố chính góp phần vào sự hư hỏng của các hệ thống bị xâm phạm.
Các hệ thống nhiều người sử dụng cùng lúc đòi hỏi sự bảo vệ chống lại truy cập trái phép nên có sự kiểm sốt việc phân phối đặc quyền thơng qua một q trình cấp phép chính thức. Các bước sau nên được xem xét:
a) nên xác định các đặc quyền kết hợp với mỗi sản phẩm hệ thống, ví dụ hệ thống vận hành, hệ thống quản lý cơ sở dữ liệu và mỗi ứng dụng và các loại nhân viên cần được phân phối;
b) các đặc quyền nên được phân phối cho các cá nhân trên cơ sở cần sử dụng và nền tảng từng sự kiện một, nghĩa là yêu cầu tối thiểu cho vai trò chức năng của họ chỉ khi cần thiết;
c) một quy trình cấp quyền và một bản lưu toàn bộ các đặc quyền được phân phối nên được bảo lưu. Các đặc quyền không nên được cho phép cho đến khi quy trình cấp quyền hồn tất;
d) việc phát triển và sử dụng các quy trình hệ thống nên được thúc đẩy để tránh nhu cầu cấp bách đặc quyền cho người sử dụng;
e) các đặc quyền nên được ấn định cho một định danh người sử dụng khác từ các đặc quyền được dùng cho việc sử dụng của doanh nghiệp thông thường.