一、企业要做的内容
1.准备《认证和授权安全策略》。
二、审核员关注的内容
1.是否依据《认证和授权安全策略》实施保护。
三、条款、目标、控制措施
A、所有用户应具有唯一标识符(用户ID),仅供个人使用;
B、应选择适当的身份验证技术,通过使用以下方法证实用户的声明身份:
1.强密码(增加最小字符数、增加复杂性等),使用时间缩短;
2.强身份验证(例如,质询响应协议):或
3.多因素身份验证,例如生物测定数据(如指纹验证、签名验证)和硬件令牌(如智能卡)的使用。
C、对于所有远程访问,使用强身份验证或多因素身份验证以及安全通道;
D、在可能的情况下,使用集中认证解决方案来改进监控;
E、在管理敏感和高价值数据时使用多因素身份验证:
F、禁用登录到根帐户。远程记录所有权限提升操作。
如您想更详细的了解ISO27040标准,需要IS027040标准,请您致电199-0343-9240,快人一步,成就管理者风范。