作者:云宝 | 发布时间:2026-05-31
在 ISO 27001 的众多控制措施中,访问控制是审核发现率最高、整改频率最大的领域之一。无论是信息技术公司还是传统制造企业,账号管理不规范、权限设置过宽、离职账号未注销——这些问题在绝大多数企业都能找到。
本文从审核员视角,系统梳理 ISO 27001:2022 访问控制相关控制措施的审核思路,帮助企业理解”有规程”和”真落地”之间的差距在哪里。
一、访问控制在 ISO 27001:2022 中的位置
ISO 27001:2022(附录A)中,访问控制相关控制措施分布在第5章(组织控制)和第8章(技术控制):
| 控制编号 | 控制名称 | 核心要求 |
|---|---|---|
| A.5.15 | 访问控制 | 制定并实施访问控制规则 |
| A.5.16 | 身份管理 | 管理身份标识的全生命周期 |
| A.5.17 | 鉴别信息 | 管理密码等鉴别信息的分配和使用 |
| A.5.18 | 访问权限 | 基于职责分配和审查访问权限 |
| A.8.2 | 特殊访问权限 | 限制和管理特权账号 |
| A.8.3 | 信息访问限制 | 基于业务和安全需求限制信息访问 |
| A.8.5 | 安全鉴别 | 安全登录程序 |
| A.8.6 | 容量管理 | (与访问控制相关的资源限制) |
审核时不必逐条对照,关键是抓住访问控制的生命周期主线:申请→授权→使用→审查→撤销。
二、访问控制全生命周期的审核框架
阶段一:访问申请与授权
该有什么:
– 访问申请流程(谁来申请、谁来审批、依据是什么)
– 最小权限原则(只授予完成工作所需的最低权限)
– 职责分离(审批人和使用人不能是同一人)
审核取证方法:
- 调取近3个月的系统访问申请记录,检查:
- 每条申请是否有明确的业务理由
- 审批人是否有资质(职级、职责对应)
-
实际授权范围是否与申请范围一致
-
抽查5-10个高权限账号(管理员、DBA、运维):
- 每个账号的授权依据是什么?
- 权限范围是否超出实际工作需要?
常见不符合项:
系统管理员权限由IT部门自行分配,无审批记录,未执行最小权限原则,不符合A.5.18的要求。
阶段二:账号使用期间的控制
该有什么:
– 账号命名规范(避免共用账号)
– 密码策略(复杂度要求、定期更换、禁止重用)
– 多因素认证(尤其是远程访问、特权操作)
– 会话超时与锁屏
审核取证方法:
-
进入任意一台正在使用的工作电脑,测试屏保锁定时间(应不超过10-15分钟)
-
查看密码策略配置(Active Directory或系统安全策略):
- 最小长度≥8位?
- 复杂度要求(大小写+数字+符号)是否开启?
-
密码有效期设置?
-
询问:哪些系统支持多因素认证?远程VPN是否强制MFA?
-
查看是否有共用账号(如
admin、test、guest):
sql
-- 审核时可要求IT展示:
SELECT username, last_login, is_enabled FROM users WHERE username IN ('admin','test','guest');
高风险信号:
– 存在 admin/admin、admin/123456 等弱密码
– 生产环境存在无人使用的测试账号
– 远程访问无MFA,仅靠用户名密码
阶段三:权限定期审查
该有什么:
– 访问权限定期审查机制(通常每半年或每年一次)
– 审查覆盖范围(所有用户还是仅高权限用户)
– 审查结论的后续处理(发现多余权限需及时撤销)
审核取证方法:
- 要求提供最近一次访问权限审查报告,检查:
- 审查时间是否在规定周期内
- 覆盖的系统范围是否完整
-
发现问题的处理情况(关闭记录在哪里)
-
选取5名已离职员工,交叉验证其账号是否已注销(见阶段四)
-
查看有无岗位变动后权限更新的记录——员工晋升、调岗、兼职时,旧权限是否及时撤销
典型问题场景:
员工A从研发部门调至销售部门,仍保留研发代码库的访问权限。审查中发现,这种情况在该公司有超过30个账号。
阶段四:账号注销——最容易出问题的环节
这是审核中发现率最高的环节。员工离职后账号未及时注销,是信息安全体系中极为常见的漏洞。
该有什么:
– 离职账号注销的标准流程(HR与IT的联动机制)
– 注销时限要求(通常要求最后工作日当天或次日完成)
– 多系统账号的清单管理(不只是Windows域账号,还有邮件、VPN、ERP、代码仓库等)
审核取证方法:
-
从HR部门获取近半年的离职名单(5-10人)
-
交叉核查以下系统的账号状态:
- Active Directory / LDAP
- 邮件系统(Exchange / 企业微信)
- VPN账号
- ERP/OA系统
- 代码仓库(GitLab / SVN)
-
云平台(AWS / 阿里云 IAM)
-
如果发现已离职人员账号仍然启用:这是重大安全事件,需要立即升级处理,并记录为高级别不符合项。
离职账号核查模板(审核记录参考):
| 姓名 | 离职日期 | 域账号 | 邮件账号 | VPN账号 | 注销日期 | 备注 |
|---|---|---|---|---|---|---|
| 张某某 | 2026-03-15 | 已注销 | 已注销 | 未注销 | — | ⚠️ 不符合 |
| 李某某 | 2026-04-01 | 已注销 | 已注销 | 已注销 | 2026-04-01 | ✅ 合规 |
三、特殊账号的专项审核:特权账号管理
特权账号(管理员账号、服务账号、系统账号)是攻击者最想控制的目标,对应 A.8.2。
审核重点:
-
特权账号清单:所有系统的管理员账号是否有完整台账?数量是否最小化?
-
日常账号与特权账号分离:系统管理员是否有两个账号(日常工作用普通账号,需要管理操作时切换到管理员账号)?
-
特权操作日志:所有使用特权账号的操作是否有审计日志?日志是否受保护(管理员不能删除自己的操作日志)?
-
服务账号密码:服务账号密码是否有人知晓、定期更换?是否使用了默认密码?
实际审核时的提问技巧:
"如果现在一名系统管理员提出离职,你们怎么确保他离职后无法访问系统?"
"你们的数据库管理员有几个?他们的操作日志存在哪里?谁来审计?"
"服务器上有哪些不是人使用的账号?这些账号的密码是什么,谁知道?"
四、远程访问的专项审核
新冠疫情后,远程办公成为常态,远程访问的安全控制成为审核重点。
审核维度:
| 控制点 | 该有的状态 | 常见问题 |
|---|---|---|
| VPN认证 | 强制多因素认证 | 仅用户名+密码,无MFA |
| 访问范围限制 | 只能访问工作所需资源 | Full tunnel,可访问整个内网 |
| 设备合规性检查 | 接入前验证设备是否合规(补丁、杀毒) | 任何设备都能连接,无准入控制 |
| 会话日志 | 记录远程访问的会话信息 | 无日志或日志保留不足90天 |
| 远程桌面(RDP) | 禁止直接暴露在公网 | 3389端口对外开放 |
五、审核总结与常见不符合项清单
在访问控制领域,以下是高频不符合项,可作为审核备查清单:
| 序号 | 不符合描述 | 对应控制措施 |
|---|---|---|
| 1 | 未定期审查用户访问权限,权限审查记录缺失 | A.5.18 |
| 2 | 离职员工账号未及时注销,存在启用状态的僵尸账号 | A.5.16 |
| 3 | 存在多人共用的系统账号,无法追溯操作责任人 | A.5.16 |
| 4 | 系统管理员权限自行分配,无审批流程 | A.5.15、A.8.2 |
| 5 | 远程VPN仅凭用户名密码登录,未启用多因素认证 | A.8.5 |
| 6 | 密码策略宽松(长度不足8位或未设置复杂度要求) | A.5.17 |
| 7 | 特权账号操作日志未有效保护,管理员可自行删除 | A.8.2 |
| 8 | 员工岗位变动后旧权限未撤销,权限累积 | A.5.18 |
| 9 | 服务账号使用默认密码,无更换记录 | A.5.17 |
| 10 | 生产环境中存在测试账号,长期未使用 | A.5.16 |
六、审核员的实战建议
-
先看制度,再验现场。访问控制制度写得再好,都不如拿一份离职名单到IT系统里交叉核查一遍来得直接。
-
数量异常是信号。如果一个100人的公司有80个管理员账号,或者5年来从未注销过一个账号,说明管理基本上是空转的。
-
不要只看Windows域账号。账号分散在各系统,只核查一个系统容易给出不准确的结论。真正的审核要覆盖主要业务系统的全部账号。
-
特权账号是重点。80%的高影响安全事件都与特权账号滥用有关。审核时对特权账号要多花时间。
-
和离职流程结合。账号注销的核心在于HR和IT的联动机制——HR什么时候通知IT、IT有多少时间处理、有没有闭环验证。这个机制不健全,账号管理再严格也会出漏洞。
访问控制是信息安全的基础防线。它不需要复杂的技术,只需要流程严谨、执行到位。对审核员来说,这个领域发现问题容易,说清楚影响也容易——正因如此,它也是推动企业真正改进信息安全管理水平的高价值审核领域。
作者:云宝,专注 ISO 9001 / ISO 27001 / ISO 20000-1 审核实务与 AI 技术应用。