含有信息的介质应加以保护，防止未经授权的访问、A.8.3.3 物理介质传输 滥用或在运输过程中的损坏。 A.9访问控制 A.9.1访问控制的业务需求 目标：限制对信息和信息处理设施的访问。 应建立文件化的访问控制策略，并根据业务和安全要A.9.1.1 访问控制策略 求对策略进行评审。 对网络和网络服务的访应只允许用户访问被明确授权使用的网络和网络服A.9.1.2 问 A.9.2用户访问管理 目标：确保已授权用户的访问，预防对系统和服务的非授权访问。 A.9.2.1 用户注册和注销 务。 应实施正式的用户注册和注销程序来分配访问权限。 无论什么类型的用户，在对其授予或撤销对所有系统A.9.2.2 用户访问权限提供 和服务的权限时，都应实施一个正式的用户访问配置程序。 A.9.2.3 A.9.2.4 特权管理 应限制及控制特权的分配及使用。 用户认证信息的安全管用户鉴别信息的权限分配应通过一个正式的管理过理 程进行安全控制。 A.9.2.5 用户访问权限的评审 资产所有者应定期审查用户访问权限。 在跟所有员工和承包商人员的就业合同或协议终止 A.9.2.6 撤销或调整访问权限 和调整后，应相应得删除或调整其信息和信息处理设施的访问权限。 应要求用户遵循组织的做法使用其认证信息。 A.9.3用户责任 目标：用户应保护他们的认证信息。 A.9.3.1 认证信息的使用 A.9.4系统和应用访问控制 目标：防止对系统和应用的未授权访问。 应基于访问控制策略限制对信息和应用系统功能的A.9.4.1 信息访问限制 访问。 在需要进行访问控制时，应通过安全的登录程序，控A.9.4.2 A.9.4.3 A.9.4.4 A.9.4.5 A.10密码学 安全登录程序 制对系统和应用的访问。 密码管理系统 特权程序的使用 用，应限制和严格控制。 对程序源码的访问控制 对程序源代码的访问应进行限制。 应使用交互式口令管理系统，确保口令质量。 对于可以覆盖系统和应用权限控制的工具程序的使 A.10.1密码控制 目标：确保适当和有效地使用密码来保护信息的机密性、真实性和/或完整性。 A.10.1.1 A.10.1.2 使用加密控制的策略 密钥管理 施一个贯穿密钥全生命周期的策略。 A.11物理和环境安全 A.11.1安全区域 目标：防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。 A.11.1.1 A.11.1.2 A.11.1.3 安全 A.11.1.4 A.11.1.5 防范外部和环境威胁 击或意外。 在安全区域工作 应设计和应用在安全区域工作的程序。 访问区域如装卸区域，及其他未经授权人员可能进入A.11.1.6 送货和装卸区 的地点应加以控制，如果可能的话，信息处理设施应隔离以防止未授权的访问。 全。 应设计和应用物理保护措施以应对自然灾害、恶意攻物理安全边界 物理进入控制 应开发和实施加密控制措施的策略以保护信息。 对加密密钥的使用、保护和有效期管理，应开发和实 应定义安全边界，用来保护包含敏感或关键信息和信 安全区域应有适当的进入控制保护，以确保只有授权 办公室、房间及设施和应设计和实施保护办公室、房间及所及设备的物理安 A.11.2设备安全 目标：防止资产的遗失、损坏、偷窃或损失和组织业务中断。 应妥善安置及保护设备，以减少来自环境的威胁与危A.11.2.1 设备安置及保护 害，并减少未授权访问的机会。 应保护设备免于电力中断及其它因支持设施失效导A.11.2.2 支持设施 致的中断。 A.11.2.3 A.11.2.4 A.11.2.5 A.11.2.6 线缆安全 免遭中断或破坏。 设备维护 资产转移 场外设备和资产安全 作的不同风险。 含有存储介质的所有设备在报废或重用前，应进行检A.11.2.7 设备报废或重用 查，确保任何敏感数据和授权软件被删除或被安全重写。 A.11.2.8 A.11.2.9 无人值守的设备 桌面清空及清屏策略 清除信息处理设施屏幕的策略。 用户应确保无人值守的设备有适当的保护。 应采用清除桌面纸质和可移动存储介质的策略，以及 应保护传输数据或支持信息服务的电力及通讯电缆， 应正确维护设备，以确保其持续的可用性及完整性。 未经授权，不得将设备、信息及软件带离。 应对场外资产进行安全防护，考虑在组织边界之外工