欢迎来到广汇联合(北京)认证服务有限公司【官方网站】:
体系认证
更多
客户专访
更多
员工专访
更多
联系我们

广汇联合---遵守法规,快速

 反应,增值认证,客户满意!

  热线:
13681064228
13681064228
  Q Q:
来电咨询

ISO27040标准保护管理界面的控制措施

发布时间:2020-06-24 作者:广汇联合 来源:广汇联合

一、条款、目标、控制措施
为了保护软件/固件接口,组织应: 
A、使用防火墙和TCP包装器将对管理网络的访问限制为授权的系统和协议; 
B、使用实体身份验证在存储系统和管理系统之间建立信任关系: 
C、利用IDS和IPS机制识别和防范异常行为; 
D、使用具有适当安全控制的ICT基础设施(域名系统或DNS、服务定位协议或SLP、网络时间协议或NTP),以避免间接攻击; 
E、使用适当的特权用户控件,包括身份验证 、授权 、和安全审核/监视: 
F、确保操作系统和应用程序是最新的,并且对攻击有足够的防御能力
 
远程管理存储系统时应使用以下附加安全措施: 
A、对所有远程访问使用安全通道(虚拟专用网或VPN、TLS、安全外壳或SSH、超文本传输协议安全或HTTPS)采用强认证或多因素认证; 
B、将权限限制在所需的最小值(即,最小权限);
 
组织应设计组织和技术控制,以限制用于远程(非本地)供应商维护会话的管理接口
A、技术控制应将通信流量(即系统、端口和协议)限制在远程供应商维护操作所需的最低限度。
B、在对访问方进行身份验证之后,应该在访问点设计额外的控件来授权供应商维护会话。其中包括接受、请求批准或拒绝请求的会话。
C、应生成包含供应商操作审核记录的适当日志。              
D、该组织应将拨号接入线路限制为授权接入方。
 
二、企业要做的内容
1. 准备《保护管理接口安全策略》
2. 准备《认证和授权安全策略》
3. 准备《特权访问管理安全策略》
4.准备《远程工作安全策略》
5.准备《合作方访问管理安全策略》
6. 准备《安全审计、会计和监控安全策略》
 
三、审核员关注的内容
1. 是否依据《保护管理接口安全策略》实施保护
2. 是否依据《认证和授权安全策略》实施保护
3. 是否依据《特权访问管理安全策略》实施保护
4. 是否依据《远程工作安全策略》实施保护
5. 是否依据《合作方访问管理安全策略》实施保护
6. 是否依据《安全审计、会计和监控安全策略》实施保护