您可能会从物理安全性的角度来考虑访问控制，但是在我们这个日益数字化的世界中，控制对我们的信息资产的访问变得越来越重要。关于访问控制策略的本文将重点讨论数字资产，但是所讨论的概念和过程将同样适用于物理资产。

本文还假设您当前没有ISO 27001之类的认证，就好像您已经获得了访问控制政策一样（此外还有一项或两项！）

关于政策的简短说明

在开始之前，让我们先谈谈政策。当您考虑政策时（如果有的话！），您可能会想到难以理解甚至难以遵循的庞大冗长的文档。我想破坏这个主意！

的 只要 任何政策的价值在于人们实际上在按其意愿行事。为此，该策略必须是：

• 简单易懂
• 容易记住，并且
• 简单实施

如果不满足这些条件中的任何一个，则该策略将在文档中保留为毫无意义的文字，因此不值得编写该文档。

相关指南： 如何制定对您和您的员工有效的政策

什么是访问控制策略？

访问控制策略通知人们如何控制对您的信息和实物资产的访问。它不是列出谁可以看到和执行什么操作（这就是您的访问控制寄存器），而是列出了用于管理和控制访问的措施和过程。

为什么要制定访问控制策略？

您可能会问：如果不需要，为什么我们要麻烦制定访问控制策略？这是一个公平的问题！创建起来可能很耗时，并且您需要培训员工如何使用它，那么拥有它有什么好处？

老实说，制定一项政策并不会真正起到很大作用。价值来自何处，是在考虑您拥有的资产并确保只有需要这些资产的人才能使用它们。它还可以让您考虑安全最佳做法，例如“最小特权原则”，并对您的员工进行使用方面的培训。

本质上，价值来自于编写和实施策略的行为，而不是策略本身。

如何编写访问控制策略

在编写访问控制策略之前，您需要考虑要保护的资产。如果您尚不知道拥有哪些信息资产，则需要执行快速审核。查看“我应该备份什么？”我们最近的博客文章中有关 业务数据备份 一些提示。

现在，您知道要控制的访问权限是什么，接下来需要考虑一些标题以包括在访问控制策略中：

角色和责任

谁拥有哪个资产或资产类别以及他们负责什么？例如，您的IT总监或首席技术官（CTO）可能负责：

• 确保没有人未经授权或检测就无法访问，修改或使用组织的资产。
• 授权和记录可能会超越此子策略的任何软件的使用。

如何记录和监控访问

员工和访客都可以访问，这可以包括以下几点：

• “信息资产的访问权限仅应提供给需要它来完成其工作说明中指定的任务或按照组织主管的指示的个人。”
• “所有访客必须在接待处登录。在受限或敏感地区时，他们必须始终由职员陪同。”
• “所有对信息资产的无监督访问都必须由访问控制寄存器中指定的人授权并记录在其中。”

如何请求和更改访问级别

有时候，人们的访问级别需要改变（例如，随着他们的角色改变或被授予更高的资历）。在这种情况下，您可能希望沿着以下路线加入一个点：

• “必须将个人访问权限的更改请求记录在“更改请求”日志中。所有更改都必须由资产所有者授权。”

添加信息安全元素

如 myhrtoolkit获得ISO 27001认证，我们的访问控制政策与我们的总体信息安全政策紧密相关。如果您当前没有单独的信息安全策略，则不妨在访问控制策略中添加以下元素：

• 密码规则，例如“不要创建自己的密码。所有密码必须由我们的密码管理软件随机生成并存储在其中。”
• 清除屏幕和桌面规则，例如“所有显示器的超时时间不得超过5分钟。每次超时后，都应提示用户输入密码以访问系统。”
• 移动工作规则，例如“仅向授权用户提供对我们网络的远程访问，并且在闲置30分钟后将其设置为超时。”

相关文章： 密码安全性：组织的策略和最佳做法

接下来是什么？

有了政策后，您需要确保遵循该政策。这意味着您需要全面培训员工如何使用它，然后进行监控 合规 定期地。

但是，如果您的新政策没有得到遵守，则不太可能是因为您的员工做错了什么。我的经验是人们想做正确的事，因此，如果人们没有使用它，则应该责怪政策和/或培训，而不是您的员工。考虑以下：

• 您的保单太长或太罗word吗？如果不需要，请不要使用技术语言。基本上，尽量避免听起来太像政策！
• 所有员工都知道该政策在哪里以及何时使用吗？您可能需要投资更多培训。

有了正确的政策和训练有素的员工，您将立即获得更大的信息安全性！

相关文章

信息安全与人力资源：营造注重安全的文化

培训员工的好处：利润，生产力，人员