存取控制系統：管理性存取控制(Access Control System: Administrative Access Control)

管理控制是管理層的限制、操作和責任程序，以及其他控制措施，用於確保組織的安全。管理性存取控制中規定的程序確保了各級人員的授權和認證。管理性存取控制的組成部分如下：

• 安全政策和程序（Security Policy and Procedures）：政策和程序決定了在組織中實施安全實踐的方法。這些政策規定了公司能接受的風險範圍，並規定了組織內允許的行動級別。
• 人員控制/程序（Personnel Controls/Procedures）：人員控制決定了員工處理安全原則的方法。人員控制規定了在發生不合規問題時所採取的步驟。安全變更涵蓋了從雇用員工到員工離職或調任其他部門的全過程。
• 監督結構（Supervisory Structure）：監督結構由負責組織中其他員工行動的成員組成，這些行動與安全有關。
• 安全意識和培訓（Security Awareness and Training）：培訓組織中的員工了解存取控制的重要性。這種培訓幫助員工限制網絡攻擊，並幫助他們檢測和控制病毒及蠕蟲。
• 測試（Testing）：存取控制的測試能揭示網絡中的弱點，檢查所有存取控制是否正常工作，並評估與組織正常運作相關的程序和政策。
• 職務輪換（Job Rotation）：職務輪換可以提高錯誤檢測和欺詐發現的能力。職務輪換政策與職責分離相結合，是一種有效的管理性存取控制。然而，職務輪換可以防止員工同時擔任多個角色，這會增加存取控制系統的負擔。需要了解職務輪換對存取控制系統的影響。
• 職責分離（Separation of Duties）：當一個操作需要多個人完成時，職責分離就發揮作用。如果一個人負責完成某項任務，他們擁有更多權力，安全風險也會更高。而如果同一任務由一個團隊完成，將有適當的制衡，並且出錯的機會較少。 例子：讓一名安全管理員負責實際規劃，另一組安全管理員負責實施和測試，這樣可以減少安全風險，並增加發現錯誤的機會。職責分離也可以應用於單個人。例如，如果一個具有有限存取權限的用戶希望執行需要管理員權限的任務，用戶帳戶控制（User Account Control, UAC） 可以在提供適當的權限後授予存取。
• 訊息分類（Information Classification）：如果沒有訊息分類，實施存取控制是不可能的。訊息可以分類為：公共的、私人的、機密的、專有的、保密的等。

訊息分類過程：

• 理解資料分類項目的目標
• 制定資料分類政策
• 制定資料分類標準
• 制定資料分類流程和程序
• 創建支持該過程的工具
• 確定應用程序的所有者
• 確定資料所有者和資料所有者的代表