保护受控未分类信息 Rev 3

该要求侧重于系统和应用程序的账户管理。除账户类型（例如，特权访问、非特权访问）确定的访问授权外，访问授权的定义和执行在03.01.02中进行说明。系统账户类型包括个人、群组、临时、系统、访客、匿名、紧急、开发者和服务账户。需要在系统账户上拥有管理权限的用户会受到负责批准此类账户和特权访问的人员的额外审查。由于风险增加，组织可能禁止的账户类型包括组账户、紧急账户、访客账户、匿名账户和临时账户。组织可以选择按账户、账户类型或两者的组合来定义访问权限或其他属性。授权访问所需的其他属性包括对时间、星期几和来源地点的限制。在定义其他系统账户属性时，组织会考虑系统要求（例如系统升级、计划维护) 以及任务和业务需求（例如，时区差异、为满足出差需求而进行的远程访问）。构成重大安全风险的用户包括那些有可靠证据表明其有意利用授权访问系统造成损害的人，或者通过他们敌手可能造成损害的人。在为高风险个体停用系统账户时，任务和业务负责人、系统管理员、人力资源经理以及法律人员之间的紧密协调至关重要。组织人员或角色的通知时间可能有所不同。非活动注销是基于行为或策略的，需要用户在预期的非活动时间超过规定期限时进行实际操作以注销。03.01.10 规定了非活动注销的自动执行。