用户访问控制程序(依据IS027001标准)1.目的为明确公司信息系统的访问控制准则,确保访问控制措施有效,特制定本程序。2.范围本程序适用操作系统、数据库、各应用系统的逻辑访问控制,物理访问按《安全区域控制程序》进行控制。3.职责与权限3.1技术部负责公司信息系统相关访问权限的分配、审批,以及帐号口令管理。3.2其他部门各部门根据实际需要向技术部提交账号及访问权限的申请,协助技术部人员对用户账号及权限进行定期复查。4.相关文件a)《计算机管理程序》5.术语定义无6.控制程序6.1访问控制策略6.1.1本公司目前的网络服务主要有互联网上网服务,供内部员工进行日常办公。6.1.2公司办公电脑仅能通过有线网络线缆接入公司网络,无线网络仅供经过公司授权的人员使用。6.1.3用户不得访问或尝试访问未经授权的网络、系统、文件和服务。6.1.4外部来访人员需要使用公司网络服务必须经过相关负责人同意,才能授权其使用。不得将访问密码随意告知不必要的人员。6.1.5外部来访人员需要使用公司无线网络时应经过公司授权并登记后,无线网络管理人员应代为输入访问密码,不得直接告知密码,确保无线访问密码的安全。6.1.6外部人员离开时应及时收回其访问权限,并根据情况及时修改原来的访问密码。6.1.7用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件)等。6.1.8用户不得私自撤除或更换网络设备。6.1.9公司内部网络及系统的维护一般采用现场维护,如确有需要使用远程方式维护,应确保有相应的身份验证(如登录密码)等安全保护措施,远程维护完毕应及时关闭远程维护端口。6.1.10公司员工在不必要的情况下尽量不要使用文件共享,一定要使用共享文件时,应对共享文件进行加密保护,并及时通知需要获取共享信息的人员,还应及时撤消文件共享。6.1.11根据公司实际情况及安全需要,可考虑将自动设备鉴别作为一种证明从特定位置和设备进行连接的手段,如IP地址对应计算机名。6.1.12非网络系统管理人员不得使用系统实用程序(系统工具),防止对系统造成破坏。6.1.13对于重要的应用(如财务系统)可考虑采取适当的连接时间限制和访问控制,在不经常使用时停止应用系统或关闭设备。6.1.14对于信息系统审计工具(如漏洞扫描工具等)的访问及使用应加以限制及保护,禁止任何可能的滥用或误用,防止对公司信息系统带来损害。6.2用户访问管理6.2.1权限申请6.2.1.1所有用户,包括第三方人员均需要履行访问授权手续。授权流程如下:a)申请部门申请:申请部门根据业务及管理工作的需要,确定需要访问的系统和访问权限,经过本部门领导同意后,向技术部提交“用户授权申请表”。b)经技术部负责人审核后,将“用户授权申请表”交访问授权实施人员(如技术部网管人员)实施。c)访问授权实施人员实施授权。6.2.1.2“用户授权申请表”应对以下内容予以明确:a)权限申请人员;b)访问权限的级别和范围;c)申请理由;d)有效期。6.2.2权限变更6.2.2.1对发生以下情况对其访问权应从系统中予以注销:a)内部用户雇佣合同终止时;b)内部用户因岗位调整不再需要此项访问服务时;c)第三方访问合同终止时;d)其它情况必须注销时。6.2.2.2由于用户变换岗位等原因造成访问权限变更时,用户应重新填写“用户授权申请表”,按照本标准6.2.1的要求履行授权手续。6.2.2.3用人部门应将人事变动情况及时通知技术部,访问授权实施人员(如网管人员)应及时收回其帐号和权限。6.2.2.4特权用户因故暂时不能履行特权职责时,根据需要可以经授权部门领导批准后,将特权临时转交可靠人员;特权用户返回工作岗位时,收回临时特权人员的特权。6.2.3用户访问权的维护和评审6.2.3.1对于任何权限的改变(包括权限的创建、变更以及注销),访问授权实施人员应进行记录,填写“用户授权申请表”包括:a)权限开放/变更/注销时间;b)变化后权限内容;c)开放权限的管理员。6.2.3.2授权管理部门每半年应对访问权限进行检查,发现不恰当的权限设置,应通知访问授权实施人员予以调整或注销。6.2.3.3授权管理部门应对访问权限的检查结果予以记录。6.3用户口令管理6.3.1各系统访问授权实施人员应按以下过程对被授权...
VIP
