等级保护制度是我国在网络安全领域的基本制度、基本国策,是国家网络安全意志的体现。而《网络安全法》的出台,更是将等级保护制度提升到了法律层面。2019年12月,网络安全等级保护制度2.0(简称“等保2.0”)正式实施。等保2.0在1.0的基础上,更加注重全方位主动防御、动态防御、整体防控和精准防护,除基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。等保2.0中和“身份与访问管理”相关的内容很多,如身份鉴别、可信验证、访问控制、安全审计、入侵防范等。在企业制定IT合规审计战略和目标的过程中,合理评估身份与访问管理相关组件的标准是否满足合规要求也是非常重要的一个环节。本文我们将简单介绍一些关于身份与访问管理相关的合规标准,希望对大家有所帮助。
身份与访问管理合规相关内容
企业成功实现身份与访问管理合规的第一步是详细了解其中的关键要素,并使之与企业的整体IT合规目标相匹配。身份与访问管理合规的关键组件必须融入企业整体的合规计划,并确保企业整体数据的隐私性、完整性、可用性和保密性。下面这张表格非常详细的地展示了身份与访问管理合规中的一些关键组件和详细描述:等保2.0合规(等保三级)相关标准如下(表中标红部分为身份与访问控制相关的内容):
身份访问管理其他相关法规
除了国内的等保2.0的相关规定之外,很多国内和国际的法规也涉及身份和访问管理合规的内容,提供网络和信息化服务的私人或公共组织都需要满足相关要求,譬如:
-
《网络安全法》:为了保障网络安全,维护网络空间主|权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法律。
-
《中华人民共和国密码法》:旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。
-
GDPR:欧盟通用数据保护条例,其中也涉及身份与访问管理相关合规的标准。
-
NIST-《NIST SP 800-63-3数字身份指南及其三个配套标准》——SP 800-63A、B和C:其中涉及针对联邦机构的身份与访问管理要求。NIST SP 800-53解决了针对联邦信息化系统和组织的信息化合规要求。
-
国际标准化组织(ISO)相关标准:ISO 27000系列标准涉及身份与访问管理要求,并广泛用作审计基准。
-
PCI DSS:全球安全标准,专门解决金融卡片类经销商的身份与访问管理合规问题。
玉符科技作为企业级身份云平台开创者,着力研发的IDaaS平台提供统一目录、单点登录、账号生命周期管理、多因素认证、安全审计等多种能力,能够快速帮助企业打造统一的身份与访问管理体系,满足信息化合规中涉及的身份鉴别、可信认证、访问控制、入侵防范、安全审计等多种需求。
点击进入玉符官网了解更多
来源:freebuf.com 2020-10-13 11:23:32 by: 玉符IDaaS
请登录后发表评论
注册