ISO27040标准中认证控制措施
发布时间:2020-06-23 作者:广汇联合 来源:广汇联合
一、条款、目标、控制措施
A、所有用户应具有唯一标识符(用户ID),仅供个人使用;
B、应选择适当的身份验证技术,通过使用以下方法证实用户的声明身份:
强密码(增加最小字符数、增加复杂性等),使用时间缩短;
强身份验证(例如,质询响应协议);或
多因素身份验证,例如生物测定数据(如指纹验证、签名验证)和硬件令牌(如智能卡)的使用。
C、对于所有远程访问,使用强身份验证或多因素身份验证以及安全通道;
D、在可能的情况下,使用集中认证解决方案来改进监控;
E、在管理敏感和高价值数据时使用多因素身份验证;
F、禁用登录到根帐户。远程记录所有权限提升操作。
二、企业要做的内容
1. 准备《认证和授权安全策略》。
三、审核员关注的内容
1.是否依据《认证和授权安全策略》实施保护。