用戶訪問控制管理規(guī)定.

1、用戶訪問控制管理規(guī)定1 目的為了明確用戶訪問控制管理的職責權限、內容和方法要求，特制定本規(guī)定。2 適用范圍本規(guī)定適用于信息安全管理體系涉及的所有人員（含組織管理人員、普通員工、 第三方人員，以下簡稱“全體員工”）3 術語和定義4 職責4.1IT 部門a)是本規(guī)定的歸口管理部門；b)負責本規(guī)定的修訂、解釋和說明及協(xié)調實施工作。4.2 信息安全進行本規(guī)定修訂及實施的協(xié)調工作4.3 相關部門貫徹執(zhí)行本規(guī)定的相關規(guī)定。4.4 部門管理者a)各部門管理者作為本部門重要信息資產(chǎn)的負責人承擔對資產(chǎn)的管理責任；b)決定本部門是否要單獨制定訪問控制方案。4.5IT 負責人a)負責制定和修改組織的訪問控制方案，并

2、使它在資產(chǎn)使用的范圍內得到切實的執(zhí)行；b)指導 IT 責任人的工作，并在必要時進行協(xié)調。c)有權指定系統(tǒng)管理員4.6IT 責任人a)具體制定和修改組織的訪問控制方案，提交b)指導部門 IT 責任人實施訪問控制方案；IT方案負責審核；c)對訪問控制方案的進行定期評審，并提出修改意見。d)委托系統(tǒng)管理員依照 IT 部門制定的措施規(guī)定進行具體實施和具體操作等。但即使在這種情況下，訪問控制方案實施狀況的最終責任，仍然由 IT 責任人承擔。4.7 部門 IT 責任人a)如果本部門需單獨制定訪問控制方案，在部門管理者的授權下制定和修改本部門的訪問控制方案，并使它在資產(chǎn)使用的范圍內得到切實的執(zhí)行；b)在 I

3、T 責任人的指導下，實施訪問控制方案。c)針對訪問控制方案向IT 責任人進行問題反饋和提出改善意見。4.8 系統(tǒng)管理員對于來自 IT 責任人委托的措施和相關操作，擔負著切實履行的責任。5 管理要求5.1 用戶認證組織主要系統(tǒng)，包含組織重要信息的計算機、網(wǎng)絡、系統(tǒng)等信息資產(chǎn)的訪問控制方案，必須滿足用戶標識與口令管理指南的規(guī)定。5.1.1 用戶標識控制相關信息資產(chǎn)責任人所在部門IT 責任人為了實現(xiàn)個人認證，需要采取以下措施，部門IT 責任人必須管理從用戶注冊、數(shù)據(jù)更新到數(shù)據(jù)刪除的用戶標識和整個周期，并必須保證它們在上述信息資產(chǎn)使用范圍內得到切實的落實。具體控制包括：5.1.1.1 用戶注冊分派的流

4、程a)用戶或代理人提交用戶標識的申請b)部門 IT 責任人核實該用戶的身份c)部門管理者審批d)用戶提交到IT 責任人e)IT 責任人委托信息系統(tǒng)管理員實施注冊f)系統(tǒng)管理員向用戶分派用戶標識。5.1.1.2 用戶標識分派的注意事項a)部門 IT 責任人必須針對每個人發(fā)放各自不販用戶標識b)禁止發(fā)放共享的用戶標識或再次發(fā)放曾用過的標識。5.1.2.3 用戶標識的更新和刪除流程a)用戶發(fā)生變動時，由部門IT 責任人，向IT 責任人提出更新或刪除申請b)IT 責任人委托系統(tǒng)管理員更新和刪除所負責系統(tǒng)上的該用戶標識，。注：用戶變動指離職、組織內部調動和第三方人員變動。5.1.2 口令控制管理部門 I

5、T 責任人遵循用戶標識與口令管理指南的規(guī)定，實施或指導對口令的控制管理。具體管理控制措施包括：5.1.2.1 口令發(fā)放口令發(fā)放參照用戶標識進行。5.1.2.2 初始口令和用戶選擇的口令用戶有責任在首次訪問時，對提供給他的初始口令修改為自身選擇的符合要求的口令。5.1.2.3 口令的管理用戶有責任對任何保密口令。用戶還必須定期修改口令。5.2 網(wǎng)絡的訪問控制5.2.1 訪問控制要求a)IT 責任人應制定措施和規(guī)定，控制從外部對網(wǎng)絡的訪問，包括來自外問相關方及本組織員工的訪問；b)對網(wǎng)絡訪問控制的首要規(guī)則是拒絕任何類型的未授權的外部訪問，可通過在局域網(wǎng)中使用防火墻或其他類似的措施實現(xiàn)。c)在有必要

6、允許外部相關方訪問或組織員工的遠程訪問的場合，必須采用針對個人的用戶認證系統(tǒng)。5.2.2 訪問控制措施IT 責任人根據(jù)系統(tǒng)的重要程度，必須實施以下的措施和程序；5.2.2.1 對訪問權的審查：IT 責任人必須宅基或者在組織的組織結構發(fā)生重大變動時及時審查網(wǎng)絡訪問權限。5.2.2.2 訪問記錄管理a)必須管理網(wǎng)絡系統(tǒng)的訪問日志；b)網(wǎng)絡訪問日志須保存一定時間，用于審查跟蹤。5.2.2.3 訪問的監(jiān)測a)對于重要的監(jiān)測， IT 責任人必須建立用于監(jiān)測的措施和程序；b)發(fā)現(xiàn)非法訪問的場合，必須采取中斷相關網(wǎng)絡通訊的必要步驟。5.3 操作系統(tǒng)的訪問控制5.3.1 訪問權的提供a)IT 責任人或IT 責

7、任（或委托系統(tǒng)管理員）在授予用戶對自己負責的系統(tǒng)的訪問權的場合，必須對照組織信息安全相關規(guī)定，檢查用戶是否業(yè)務需要，資格是否符合，給予用戶最適當?shù)脑L問權；b)對于最適當?shù)脑L問權必須包含以下內容：限制訪問權的類型，有閱讀、更新、執(zhí)行的權力等；限定訪問的對象，為單個文件或文件夾。5.3.2 對訪問權的審查IT 責任人或部門IT 責任人 （或委托系統(tǒng)管理員）必須根據(jù)需要或者在組織的組織結構發(fā)生重大變動時，及時審核用戶的訪問權，并根據(jù)審查結果更新用戶的訪問權限。5.3.3 訪問記錄的管理和監(jiān)測對于重要的操作系統(tǒng)， IT 責任人或部門重要應用系統(tǒng)的系統(tǒng)管理員必須對系統(tǒng)以及存儲在系統(tǒng)中的信息，根據(jù)重要程度

8、，制定嚴格的控制訪問的措施和程序。5.4 應用系統(tǒng)的訪問控制5.4.1 控制原則組織重要應用系統(tǒng)和各部門重要應用系統(tǒng)的系統(tǒng)管理員必須對系統(tǒng)以及存儲在系統(tǒng)中的信息，根據(jù)重要程度，制定嚴格的控制訪問的措施和程序。5.4.2 訪問權的提供a)系統(tǒng)管理員必須根據(jù)存儲在系統(tǒng)中的信息的重要程度，確定擁有系統(tǒng)訪問權的用戶b)在分配用戶對系統(tǒng)的訪問權時，系統(tǒng)管理員必須依據(jù)信息安全規(guī)定，檢查用戶業(yè)務的必要性，確認用戶的資格，將適當?shù)脑L問權分配給相應資格的用戶。5.4.3 對訪問權的提供系統(tǒng)管理員必須根據(jù)或者在組織結構發(fā)生重大變動時，及時審查用戶的訪問權，并根據(jù)審查結果更新用戶訪問權限。5.4.4 訪問記錄的管理

9、和監(jiān)測對重要的應用系統(tǒng)，系統(tǒng)管理員必須保存一定時間段的訪問日志，用于審核跟蹤。發(fā)現(xiàn)非法訪問的場合，采取必要對策。5.5 特權管理5.5.1 任何具有特權的管理員a)為了適當?shù)毓芾砭W(wǎng)絡系統(tǒng)、操作系統(tǒng)和應用系統(tǒng)， IT 負責人在與各部門管理者協(xié)商的基礎上，可以任命特權管理員并授權他們擁有在需要的時候更改系統(tǒng)配置的特權。b)在選擇特權管理員時，IT 負責人必須仔細審查他們的能力和資質；c)特權管理員的數(shù)量必須處于最低限度。5.5.2 特權管理員的用戶標識和口令管理特權管理員的用戶標識和口令必須進行比一般用戶更加嚴格的管理，詳細的要求參見用戶標識與口令管理指南的規(guī)定。5.6 外部相關方訪問組織信息資產(chǎn)時，IT 責任人作為該外部相關方的管理者必須保證對資習采取適當?shù)脑L問控制。5.6.1 對該問權的審查IT 責任人應定期和及時審查和核實外部相關方的訪問權，并根據(jù)審查的結果修改對組織信息資產(chǎn)的訪問權限。 5.6.2 管理和審查a)要求和外部相關方責任部門的部門IT 責任人，為外部相關方建立賬號，向授權訪問組織信息資產(chǎn)的外部相關方的每個用戶提供有關賬號管理和對資產(chǎn)實施正