NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

系统账户类型的示例包括个人账户、共享账户、组账户、系统账户、访客账户、匿名账户、紧急账户、开发者账户、临时账户和服务账户。识别授权的系统用户以及指定访问权限反映了安全计划中其他控制措施的要求。需要在系统账户上拥有管理权限的用户会受到负责批准此类账户和特权访问的组织人员的额外审查，包括系统所有者、任务或业务所有者、高级机构信息安全官员或机构高级隐私官员。由于风险增加，组织可能希望禁止的账户类型包括共享账户、群组账户、紧急账户、匿名账户、临时账户和访客账户。当访问涉及个人身份信息时，安全计划会与机构高级隐私官合作，确定群组和角色成员资格的具体条件；指定每个账户的授权用户、群组和角色成员以及访问权限；并根据组织政策创建、调整或删除系统账户。政策可以包括账户到期日期或触发账户停用的其他因素等信息。组织可以选择按账户、账户类型或两者结合来定义访问权限或其他属性。授权访问所需的其他属性示例包括对一天中的时间、星期几和来源地点的限制。在定义其他系统账户属性时，组织会考虑与系统相关的要求以及任务/业务需求。未能考虑这些因素可能会影响系统可用性。临时和紧急账户是用于短期使用的。当需要短期账户而不要求立即激活账户时，组织会在正常账户激活程序中建立临时账户。组织会在应对危机情况以及需要快速激活账户时建立紧急账户。因此，紧急账户激活可能会绕过正常的账户授权流程。紧急和临时账户不应与不常使用的账户混淆，包括用于特殊任务或网络资源不可用时的本地登录账户（也可能被称为最后手段账户）。此类账户仍然可用，并且不受自动禁用或删除日期的限制。禁用或停用帐户的条件包括共享/组帐户、紧急帐户或临时帐户不再需要，以及个人被调动或终止时。在成员离开组时更改共享/组认证器旨在确保前组成员不再保留对共享或组帐户的访问权限。某些类型的系统帐户可能需要专业培训。