一、ISO/IEC 27001:2022 附录A.5.16 控制原文
附录A.5.16 身份管理
控制要求:组织应管理身份的整个生命周期,确保用户、服务、系统和其他实体身份被唯一识别、正确建立、更新、停用和删除,以支持认证和授权控制。
身份是访问控制的起点。没有清晰身份,就谈不上可靠认证、准确授权和有效追溯。
控制要求:组织应管理身份的整个生命周期,确保用户、服务、系统和其他实体身份被唯一识别、正确建立、更新、停用和删除,以支持认证和授权控制。
身份是访问控制的起点。没有清晰身份,就谈不上可靠认证、准确授权和有效追溯。
引用:身份管理的本质,是回答“这个访问请求背后到底是谁、属于谁、现在是否还应存在”。
二、条款解读说明
2.1 为什么A.5.16比“账号管理”范围更大
很多组织把身份管理等同于员工账号开通和回收,但现代环境中的身份远不止这些。除了人员身份外,还包括系统服务账号、API调用身份、自动化脚本身份、机器人流程身份、共享设备上的受控身份以及第三方协作身份。随着云平台、自动化运维和接口集成越来越普遍,非人身份数量迅速增加,且常常拥有较高权限。如果身份管理仍停留在传统员工账号视角,组织很容易出现大量“无人认领却持续有效”的高风险身份。
A.5.16的重点,是对身份进行全生命周期治理,确保每个身份都能回答以下问题:是谁创建的、对应哪个主体、因何存在、适用于哪些资源、何时到期、如何停用。只有这样,后续认证信息和访问权限控制才能真正可信。
2.2 关键要点拆解
| 关键点 | 控制含义 | 常见问题 | 建议做法 |
|---|---|---|---|
| 身份唯一性 | 每个身份应可唯一识别和追溯 | 共享账号泛滥 | 优先使用可归属到个人或主体的身份 |
| 生命周期管理 | 建立、变更、停用、删除全程受控 | 离岗后身份残留 | 与HR和流程系统联动 |
| 主体归属 | 明确身份对应的人、系统或服务 | 服务账号无人负责 | 为每类身份指定责任方 |
| 身份范围扩展 | 覆盖人和非人身份 | 只管员工账号 | 纳入API、服务和自动化身份 |
2.3 身份管理与访问权限的边界
A.5.16关注“身份是什么、是否有效、是否可归属”;A.5.18更侧重“这个身份拥有什么访问权限”。两者高度关联但并不相同。现实中很多风险都出在A.5.16做得不扎实,例如过期账号未删除、服务身份无所有者、共享身份无法追责,这些问题即使后续权限流程存在,也很难完全补救。
注意:A.5.16的成熟度通常反映在组织是否能清晰掌握所有身份的来源、归属和生命周期状态,而不是仅仅知道账号总数。
三、实施要点
3.1 建立统一身份分类
- 区分员工身份、外包身份、第三方身份、服务身份、接口身份和临时身份。
- 为不同类别定义创建、审批、命名、到期和停用规则。
- 让身份治理覆盖所有主要访问主体。
3.2 强化身份唯一性和归属关系
- 尽量避免共享身份;确需存在时应有补偿控制和明确责任。
- 服务和自动化身份必须有对应责任人和用途说明。
- 确保身份名称和记录能够支持审计追溯。
3.3 把生命周期接入业务流程
- 与入职、转岗、离职、合同结束、项目结束和系统退役流程联动。
- 使新增和停用尽量自动化,减少遗留身份。
- 对长期未使用身份开展定期清理。
3.4 覆盖非人身份治理
- 对服务账号、密钥绑定身份和自动化任务身份建立专门管理要求。
- 记录用途、运行环境、所有者和有效期。
- 不要把非人身份视为技术细节而游离在治理之外。
3.5 周期复核身份状态
- 通过审计和技术清理识别孤儿账号、重复身份和长期未用身份。
- 重点关注高权限和第三方身份。
- 发现问题后与A.5.18权限复核联动整改。
成功:成熟的A.5.16控制,会让组织拥有一份真实可信的“身份地图”,知道每个重要身份为什么存在、由谁负责、现在是否仍应存在。
四、常用工具与实施方法
| 工具/方法 | 应用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| 身份分类模型 | 统一身份治理口径 | 覆盖人和非人身份 | 分类模型 |
| 身份主数据台账 | 维护归属和状态 | 记录主体、用途、所有者、状态和到期时间 | 身份清单 |
| 生命周期联动流程 | 接入人事和项目变更 | 与HR、采购、项目和系统退役联动 | 联动规则 |
| 孤儿身份审计 | 发现残留问题 | 重点检查长期未用和无归属身份 | 审计报告 |
五、典型案例
案例一:服务账号无人认领导致高风险残留
- 背景:企业有大量自动化脚本账号。
- 问题:多年后已无人知道其用途,但仍拥有生产访问能力。
- A.5.16动作:开展非人身份清理,补充用途和责任人登记。
- 结果:高风险孤儿身份显著减少。
- 启示:身份管理必须覆盖非人主体。
案例二:转岗后保留旧身份映射关系
- 背景:员工转岗后系统身份仍绑定旧部门角色。
- 问题:后续权限复核难以判断其访问合理性。
- A.5.16动作:把转岗事件接入身份变更流程,并同步更新归属关系。
- 结果:身份与职责更加一致。
- 启示:身份信息和组织角色变更必须同步。
案例三:共享账号使追责和审计困难
- 背景:运维团队习惯共用部分管理账号。
- 问题:关键操作很难还原到个人。
- A.5.16动作:推动共享账号改造为个人身份+授权提升机制。
- 结果:追溯性提升,操作边界更清楚。
- 启示:唯一身份是审计和授权可信的前提。
六、成文信息管理要求
A.5.16审核时通常会关注组织是否维护了关键身份清单、身份分类规则、生命周期控制记录以及异常身份审计结果。仅有账号列表而没有归属和状态信息通常不够。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 身份分类规则 | 身份类型、命名、审批和生命周期要求 | 安全部/IT | 证明治理口径已建立 |
| 身份台账 | 主体、所有者、用途、状态和有效期 | IT/安全/业务 | 证明关键身份可见且可归属 |
| 开通、变更、停用记录 | 审批、触发原因和执行状态 | IT/HR/业务 | 证明生命周期受控 |
| 身份审计和清理记录 | 孤儿身份、重复身份和长期未用身份整改 | 审计/安全/IT | 证明控制持续有效 |
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 身份管理只管员工账号 | 服务和接口身份成为盲区 | 覆盖所有访问主体 |
| 账号存在但无归属 | 后续授权和审计无依据 | 为每个重要身份指定责任方 |
| 共享账号默认存在 | 追溯性和责任界定困难 | 优先使用唯一身份 |
| 身份停用不及时 | 离岗和项目结束后仍可访问 | 将生命周期接入业务触发流程 |
警告:避免把A.5.16做成“账号台账维护”。真正的风险是组织无法回答关键身份是谁、归谁管、为何仍存在。
小结:A.5.16要求组织对身份进行全生命周期治理。身份越清晰,后续认证、授权、审计和回收控制就越可靠。