AC-1访问控制策略和程序
描述
本《控制规定》旨在建立政策和程序,以便有效实施AC系列中选定的安全控制和控制增强措施。 政策和过程反映了适用的联邦法律、行政命令、指示、法规、政策、标准和指导。 组织级别的安全程序策略和过程可能使系统特定策略和过程变得不必要。
策略可以作为组织的一般信息安全策略的一部分,或者相反,可以由反映某些组织的复杂性的多个策略来表示。
如果需要,可以为一般的安全程序和特定的信息系统建立程序。
组织风险管理策略是建立政策和程序的关键因素。
适用性
本控制的目标受众包括但不限于信息资源所有者和保管人。
实现
TAMU-CC应当:
- 制定、记录并分发给首席信息安全和隐私官(CISPO):
- 处理目的、范围、角色、职责、管理承诺、组织实体之间的协调和遵从性的访问控制策略; 和
- 协助实施访问控制政策及相关访问控制的程序; 和
- 审查和更新当前:
- 每年访问控制策略; 和
- 每年进行访问控制程序。
- 创建、分发和实现帐户管理策略,该策略定义了建立用户身份、管理用户帐户以及建立和监视用户对信息资源的访问的规则
确保有足够的流程来确定(身份证明)用户的身份,并在授予访问权限之前确定适当的用户角色。
修订历史
最后更新日期:2025年2月21日
以前的版本:
- 2023年6月29日
- 2022年5月31日
- 2021年3月25日
- 2019年9月16日