XXX信息安全有限公司第1页共8页内部公开访问控制制度目录1.目的和范围22.引用文件23.职责和权限24.用户管理24.1.用户注册24.2.用户口令管理35.权限管理35.1.用户权限管理原则35.2.用户访问权限设置步骤36.操作系统访问控制46.1.安全登录制度46.2.会话超时与联机时间的限定47.应用系统访问控制48.Internet访问控制59.网络隔离510.信息交流控制措施511.远程访问管理610.1.远程接入的用户认证610.2.远程接入的审计612.无线网络访问管理713.笔记本使用及安全配置规定714.外部人员使用笔记本的规定715.实施策略716.相关记录81.目的和范围通过控制用户权限正确管理用户,实现控制办公网系统和应用系统访问权限与访问权限的分配,防止对办公网系统和应用系统的非法访问,防止非法操作,保证生产系统的可用性、完整性、保密性,以及规范服务器的访问。本访问控制制度适用于系统维护部以及其他拥有系统权限的管理部门。2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。第2页共8页内部公开2)GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求3)GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则3.职责和权限各部门必须遵照本管理规范实行对用户、口令和权限的管理,用户必须按照本管理规范访问公司办公网系统和应用系统。4.用户管理4.1.用户注册1)只有授权用户才可以申请系统账号,账号相应的权限应该以满足用户需要为原则,不得有与用户职责无关的权限。2)一人一账号,以便将用户与其操作联系起来,使用户对其操作负责,禁止多人使用同一个账号。3)用户因工作变更或离职时,管理员要及时取消或者锁定其所有账号,对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。4)管理员应每季度检查并取消多余的用户账号。4.2.用户口令管理和使用引用文件:《密码控制管理制度》5.权限管理5.1.用户权限管理原则1)所有的重要服务器应用系统要有明确的用户清单及权限清单,每季度进行一次权限评审。2)重要设备的操作系统、数据库、重要应用程序相关的特殊访问权限的分配需进行严格管理。3)对一般用户只拥有在注册时所审批的权限。第3页共8页内部公开4)每个人分配的权限以完成相应工作最低标准为准。服务器日志的安全审查职责与日常工作权限责任分割。5)新账号开通时提供给他们一个安全的临时登录密码,并在首次使用时强制改变。6)为防止未授权的更改或误用信息或服务的机会,按以下要求进行职责分配:a)系统管理职责与操作职责分离;b)信息安全审核具有独立性。5.2.用户访问权限设置步骤1)权限设置:对信息的访问权限进行设置,添加该用户的相应访问权,设置权限,要再次确认,以保证权限设置正确。2)定期检查用户账户:管理员每季度对应用系统进行一次权限评审。3)取消访问权:离开公司应立即取消或禁用其账号及所有权限,将其所拥有的信息备份保存,或转换接替者为持有人。用户的岗位发生变化时,要对其访问权限重新授权。6.操作系统访问控制6.1.安全登录制度1)UNIX、LINUX系统使用SSH登录系统。2)进入操作系统必须执行登录操作,禁止将系统设定为自动登录。3)记录登录成功与失败的日志。4)日常非系统管理操作时,只能以普通用户登录。5)启用操作系统的口令管理策略(如口令至少8位,字母数字组合等),保证用户口令的安全性。6.2.会话超时与联机时间的限定1)重要服务器应设置会话超时限制,不活动会话应在一个设定的休止期5分钟后关闭。第4页共8页内部公开2)应考虑对敏感的计算机应用程序,特别是安装在高风险位置的应用程序,使用连机时间的控制措施。这种限制的示例包括:•使用预先定义的时间间隔,如对批量文件传输,或定期的短期交互会话等情况使用指定的时间间隔;•如果没有超时或延时操作的要求,则将连机时间限于正常办公时间;7.应用系统访问控制1)根据《重要服务器-应用系统清单》,填写《重要应用系统权限评...
VIP
