访问控制与安全通信
法律依据
§30(2) 第9项 BSIG – 人员安全、访问控制概念和资产管理
§30(2) 第10项 BSIG – 使用多因素认证或持续认证解决方案、安全语音、视频和文本通信,以及适当情况下的安全应急通信系统
访问控制原则
| 原则 | 实施 |
|---|---|
| 最小权限 | 按任务需求分配最小权限 |
| 需知原则 | 仅在业务必要时访问数据 |
| 职责分离 | 关键操作需多人参与 |
| 四眼原则 | 安全相关更改需审查 |
多因素认证(MFA)
MFA强制要求用于:
- 所有外部访问(VPN、Web门户)
- 管理系统访问
- 云服务和SaaS应用
- 电子邮件访问
首选MFA方法:硬件令牌(FIDO2/WebAuthn)、认证器应用(TOTP)。不允许基于短信的MFA。
密码管理
| 要求 | 最低标准 |
|---|---|
| 最小长度 | 16个字符(推荐密码短语) |
| 密码管理器 | 所有员工强制使用 |
| 密码重用 | 禁止 |
| 泄露密码 | 自动检查已知泄露列表 |
入职/离职
| 流程 | 措施 | 期限 |
|---|---|---|
| 入职 | 设置个人账户、MFA设置、基础培训 | 首个工作日前 |
| 角色变更 | 调整权限、审查旧权限 | 5个工作日内 |
| 离职 | 停用所有访问、归还硬件、密钥轮换 | 最后工作日 |
安全通信
| 渠道 | 安全性 | 用途 |
|---|---|---|
| 电子邮件 | TLS传输加密、SPF/DKIM/DMARC | 标准业务通信 |
| 加密即时通讯 | 端到端加密 | 敏感内部通信 |
| 视频会议 | TLS加密、访问控制 | 会议、客户通话 |
| VPN | IPsec/WireGuard | 远程访问内部系统 |
应急通信
- 预定义的备用通信渠道(电话、替代即时通讯)
- 关键人员的最新联系列表可离线获取
- 定期验证可达性