5.2.5  訪問控制

訪問控制包含4個控制目標14個控制措施。

　　組織應建立統一的訪問控制策略并形成正式文件。資產責任人應決定訪問其資產的指定用戶的適當的訪問控制規程、訪問權利和限制，訪問控制策略需有適量的細節和嚴格的控制措施，以反映相關的信息安全風險。訪問控制包括邏輯的和物理的，它們要一起考慮。要給用戶和服務提供商提供一份清晰的滿足業務要求的說明。在規定訪問控制規則時，建議在

“未經明確允許，則一律禁止”的前提下，而不是“未經明確禁止，一律允許”的弱規則的基礎上建立規則。訪問控制策略需適用于物理環境、網絡、服務器、終端、應用系統和信息等多類對象，并分別留存不同用戶的訪問控制授權記錄。

組織要制定關于使用網絡和網絡服務的策略。網絡服務使用策略要與業務訪問控制策略相一致，并保存網絡日志。