一、ISO/IEC 27001:2022 附录A.5.15 控制原文
附录A.5.15 访问控制
控制要求:组织应制定并实施访问控制规则,以限制对信息和其他相关资产的访问,确保访问仅按业务和信息安全要求被授予。
A.5.15是一个总控制,它为身份管理、认证信息和访问权限等后续控制提供总体原则和边界。
控制要求:组织应制定并实施访问控制规则,以限制对信息和其他相关资产的访问,确保访问仅按业务和信息安全要求被授予。
A.5.15是一个总控制,它为身份管理、认证信息和访问权限等后续控制提供总体原则和边界。
引用:访问控制的本质不是“把门关得越多越好”,而是让正确的人在正确时间、为正确目的访问正确资源。
二、条款解读说明
2.1 为什么A.5.15是访问治理的总纲
组织在后续可以拥有很多具体控制,如账号管理、MFA、审批流、角色模型、权限回收和日志审计,但如果缺少统一的访问控制原则,这些控制往往会碎片化。A.5.15解决的正是“访问应遵循什么总体规则”这一问题,例如是否坚持最小权限、是否按职责和分级授权、是否允许共享账号、何种场景需要双重控制、如何处理例外。
这一控制之所以重要,还因为它直接连接多个高风险场景:数据访问、系统管理、云平台、远程接入、第三方协作和敏感操作。如果访问控制只剩技术实现,没有清晰管理原则,组织很容易在业务压力下不断扩大权限边界,最终形成“谁都能看、谁都能改、谁都能导出”的失控状态。
2.2 关键要点拆解
| 关键点 | 控制含义 | 常见问题 | 建议做法 |
|---|---|---|---|
| 基于业务需要 | 访问应服务于明确职责和业务目的 | “方便工作”成为默认理由 | 要求清楚业务场景和职责依据 |
| 最小权限 | 只授予完成任务所需的最低访问 | 习惯性给大权限 | 按角色设计最小授权集 |
| 分级联动 | 不同级别信息应有不同访问要求 | 所有数据共享策略一致 | 与信息分级和资产价值联动 |
| 例外管理 | 特殊访问场景应有受控机制 | 临时权限长期存在 | 使用期限、审批和回收机制 |
2.3 访问控制为什么常常失效
访问控制失效最常见的根因并不是技术做不到,而是治理边界不清。例如,组织没有定义清楚哪些岗位本应具备哪些访问;临时权限开通后缺少回收;测试、生产和共享文档平台采用完全不同规则;业务要求一来,系统管理员凭经验直接加权限。A.5.15的作用,就是用统一基线约束这些行为,确保后续具体控制不至于各自为政。
注意:A.5.15强调的是访问控制“原则和规则”。如果没有这层基线,后续身份、权限和认证控制很容易被业务压力一点点侵蚀。
三、实施要点
3.1 建立统一访问控制原则
- 明确最小权限、按需访问、职责分离、共享账号限制、敏感访问审批和定期复核等原则。
- 让这些原则适用于系统、数据、平台和服务,而不是只针对某一类应用。
- 对高风险访问场景设更严格规则。
3.2 用角色和场景控制访问
- 优先按岗位角色和业务场景定义访问边界,减少逐个用户随意加权。
- 对跨部门、跨系统和跨环境访问设额外审批或复核。
- 让业务负责人参与敏感访问授权判断。
3.3 处理高风险和例外访问
- 对管理权限、数据导出、生产环境访问和第三方访问建立专项规则。
- 临时授权应有时限、理由和自动回收机制。
- 避免将临时例外常态化。
3.4 与分级和资产清单联动
- 高价值资产和高等级信息应适用更严格的访问要求。
- 在访问策略设计中引用资产所有者和信息所有者责任。
- 不要把所有系统都按同一套授权逻辑处理。
3.5 定期评估访问控制有效性
- 通过权限审计、访问日志分析、异常访问监测和内审检查策略落地情况。
- 对“权限长期越积越多”的部门重点关注。
- 发现失控时及时回到规则层修正,而不是只删几条权限。
成功:高质量的A.5.15控制,会让组织形成稳定共识:访问不是谁申请谁就给,而是必须有清晰的业务理由和控制边界。
四、常用工具与实施方法
| 工具/方法 | 应用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| 访问控制规则文件 | 建立总体原则 | 明确适用范围、原则和例外要求 | 规则文件 |
| 角色访问矩阵 | 按岗位配置权限边界 | 定义岗位和资源之间的授权关系 | 访问矩阵 |
| 高风险访问清单 | 聚焦重点控制 | 识别生产、导出、特权和第三方访问 | 专项清单 |
| 定期复核机制 | 防止权限膨胀 | 由业务和资产所有者共同复核 | 复核记录 |
五、典型案例
案例一:为方便协作长期授予超额权限
- 背景:企业多个共享目录权限几乎对全员开放。
- 问题:敏感资料访问边界极其模糊。
- A.5.15动作:按岗位和信息等级重构访问规则,收缩默认开放范围。
- 结果:敏感信息暴露面明显下降。
- 启示:方便性不能替代访问治理。
案例二:临时权限长期不回收
- 背景:项目高峰期频繁申请临时高权限。
- 问题:大量临时权限在项目结束后仍然存在。
- A.5.15动作:建立时限化例外访问机制并增加自动到期控制。
- 结果:长期残留权限显著减少。
- 启示:例外管理是访问控制的重要组成部分。
案例三:第三方访问缺少统一基线
- 背景:外包和供应商访问各系统方式不一致。
- 问题:部分系统有审批,部分系统直接给共享账号。
- A.5.15动作:统一第三方访问原则和敏感访问要求。
- 结果:第三方访问更可控、可审计。
- 启示:总规则比零散系统控制更关键。
六、成文信息管理要求
A.5.15的审核证据重点通常包括访问控制总规则、角色授权逻辑、例外管理和复核记录。审核员会特别关注规则是否在不同系统和流程中保持一致。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 访问控制规则 | 授权原则、最小权限、例外和复核要求 | 安全部/IT/业务 | 证明总体基线已建立 |
| 角色访问矩阵 | 岗位、系统、资源和默认权限关系 | IT/业务/安全 | 证明规则可执行 |
| 审批和例外记录 | 临时访问、高风险访问和第三方访问痕迹 | IT/业务/安全 | 证明边界受控 |
| 复核与审计记录 | 权限复核、异常访问排查和整改 | 业务/审计/安全 | 证明控制持续有效 |
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 访问控制只靠系统配置 | 缺少统一授权原则 | 先定义管理规则,再落实技术实现 |
| “方便工作”优先于最小权限 | 权限不断膨胀 | 基于业务需要精细授权 |
| 临时权限不当常态化 | 例外成为默认规则 | 设置时限和强制回收 |
| 高等级信息与普通信息同样授权 | 分级失去管理意义 | 将信息等级纳入访问规则 |
警告:避免把A.5.15理解成“系统里配了权限就算完成”。真正的风险是组织没有统一访问原则,权限边界随着业务压力不断松动。
小结:A.5.15为访问治理建立了总规则。规则越清晰,身份管理、权限分配和高风险访问控制就越容易形成一致、稳定的执行体系。