网络与信息安全指令2 2023
控制项模式欧盟网络与信息安全指令,加强整个欧盟的网络安全要求。
组织管理用户、服务和授权硬件的身份和凭证。用户、服务和硬件都经过身份验证。权限、权利和访问授权在策略中定义,进行管理、执行和审查,并体现最小权限和职能分离的原则。对资产的物理访问根据风险进行适当管理、监控和执行。标准:1. 所有账户,包括具有管理权限的账户和用于远程访问的账户,均应被记录,并经内部NIS相关人员批准,除非有正当且有记录的技术原因,否则应根据措施ID.RA-05中提到的风险评估结果,为每个用户单独设置。| 2. 凭证(例如,与账户相关的用户名和密码) 是强密码,并根据风险评估ID.RA-05的结果及时更新。| 3. 至少对于相关的信息和网络系统,账户及其相关权限应定期核查,并在发生变动(例如员工调动或离职)时进行更新/撤销。| 4. 遵守措施GV中提及的政策。PO-01,针对第1、2、3点已采用并记录了相关程序。
组织管理用户、服务和授权硬件的身份和凭证。用户、服务和硬件都经过身份验证。权限、权利和访问授权在策略中定义,进行管理、执行和审查,并体现最小权限和职能分离的原则。对资产的物理访问根据风险进行适当管理、监控和执行。标准:1. 用户访问信息和网络系统的身份验证方法应与风险相称。为此,至少应评估以下风险:a) 用户权限;b) 信息和网络系统的重要性;c) 用户可以在信息和网络系统上执行的操作类型。2.对于至少相关的信息和网络系统,并根据措施 ID.RA-05 中提到的风险评估结果,采用多因素身份验证方法。| 3. 根据措施 GV.PO-01 中提到的政策,采用并记录与第 1 点和第 2 点相关的程序。
组织管理用户、服务和授权硬件的身份和凭证。用户、服务和硬件都经过身份验证。权限、权利和访问授权在策略中定义,进行管理、执行和审查,并体现最小权限和职能分离的原则。对资产的物理访问根据风险进行适当管理、监控和执行。标准:1. 根据最小权限和职能分离原则分配用户权限,同时考虑知情需求。| 2. 对系统管理员必须完全区分具有管理权限和不具有管理权限的用户,并且必须使用不同的凭据。| 3. 遵守措施 GV 中提到的政策。PO-01,与第1和第2条相关的程序已被采用并记录。
组织管理用户、服务和授权硬件的身份和凭证。用户、服务和硬件都经过身份验证。权限、权利和访问授权在策略中定义,进行管理、执行和审查,并体现最小权限和职能分离的原则。对资产的物理访问根据风险进行适当管理、监控和执行。标准:1. 对于至少相关的信息和网络系统,应保护物理访问。| 2. 根据措施 GV.PO-01 中提到的政策,针对第 1 点采用并记录程序。