ISO27000标准：“A.9.3 用户责任”条款理解与应用

添加时间：2021/1/14  录入：深圳华道  来源：深圳华道

【标准条款】

A. 9.3 用户责任

目的：让用户承担保护其鉴别信息的责任。

A.9.3.1 秘密鉴别信息的使用

应要求用户遵循组织在使用秘密鉴别信息时的惯例。

【理解与应用】

宜建议所有用户∶

（1）保持秘密鉴别信息的保密性，确保其不被泄露至任何其他方，包括授权的人;

（2）避免保留秘密鉴别信息的记录（例如在纸上、软件文件中或手持设备中），除非可以对其进行安全地存储及存储方法得到批准（如口令库）;

（3）一旦有迹象表明秘密鉴别信息可能受到损害时，就对其进行变更;

（4）当使用口令作为秘密鉴别信息时，宜选择具有最小长度的优质口令，这些口令∶

———易于记忆;

——不能基于别人容易猜测或获得的与使用人相关的信息，例如，名字、电话号码和生日，等等;

——不容易遭受字典攻击（即，不是由字典中的词所组成的）;

——避免使用连续相同的，全数字的或全字母的字符。

——如果是临时的口令，在第一次登录时要修改。

（5）个人用户的秘密鉴别信息不要共享;

（6）当口令作为秘密鉴别信息在自动登录规程中使用和存储时，确保其得到适保护;

（7）业务用途和非业务用途使用不同的秘密鉴别信息。

【返回 】