ISMS-B-09 用戶訪問控制程序-ISO27001

1、用戶訪問控制程序文件編號：ISMS-B-09版 本：A/0頁 碼：第6頁 共6頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：r 市場中心r 項目中心r 模具中心r 采購部r 品質(zhì)中心r 貨倉課r 財務(wù)部r 總經(jīng)辦r 人力資源中心r 設(shè)備課r 計劃部r 生產(chǎn)中心1. 目的為明確公司信息系統(tǒng)的訪問控制準(zhǔn)則，確保訪問控制措施有效，特制定本程序。2. 范圍本程序適用操作系統(tǒng)、數(shù)據(jù)庫、各應(yīng)用系統(tǒng)的邏輯訪問控制，物理訪問按安全區(qū)域控制程序進行控制。3. 職責(zé)與權(quán)限3.1 信息管理部負(fù)責(zé)公司信息系統(tǒng)相關(guān)訪問權(quán)限的分配、審批，以及帳號口令管理。3.2 其他部門各部門根據(jù)實際需要向信

2、息管理部部提交賬號及訪問權(quán)限的申請，協(xié)助信息管理部人員對用戶賬號及權(quán)限進行定期復(fù)查。4. 相關(guān)文件a) 計算機管理程序5. 術(shù)語定義無 6. 控制程序6.1 訪問控制策略6.1.1 本公司目前的網(wǎng)絡(luò)服務(wù)主要有互聯(lián)網(wǎng)上網(wǎng)服務(wù)，供內(nèi)部員工進行日常辦公。6.1.2 公司辦公電腦均應(yīng)通過網(wǎng)絡(luò)線纜接入公司網(wǎng)絡(luò)，無線網(wǎng)絡(luò)僅供經(jīng)過公司授權(quán)的人員使用。6.1.3 用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。6.1.4 外部來訪人員需要使用公司網(wǎng)絡(luò)服務(wù)必須經(jīng)過相關(guān)負(fù)責(zé)人同意，才能授權(quán)其使用。不得將訪問密碼隨意告知不必要的人員，6.1.5外部來訪人員需要使用公司無線網(wǎng)絡(luò)時應(yīng)經(jīng)過公司授權(quán)并登記后，無線網(wǎng)

3、絡(luò)管理人員應(yīng)代為輸入訪問密碼，不得直接告知密碼，確保無線訪問密碼的安全。6.1.6外部人員離開時應(yīng)及時收回其訪問權(quán)限，并根據(jù)情況及時修改原來的訪問密碼。6.1.7用戶不得以任何方式私自安裝路由器、交換機、代理服務(wù)器、無線網(wǎng)絡(luò)訪問點(包括軟件和硬件)等。6.1.8 用戶不得私自撤除或更換網(wǎng)絡(luò)設(shè)備。6.1.9公司內(nèi)部網(wǎng)絡(luò)及系統(tǒng)的維護一般采用現(xiàn)場維護，如確有需要使用遠(yuǎn)程方式維護，應(yīng)確保有相應(yīng)的身份驗證（如登錄密碼）等安全保護措施，遠(yuǎn)程維護完畢應(yīng)及時關(guān)閉遠(yuǎn)程維護端口。6.1.10公司員工在不必要的情況下盡量不要使用文件共享，一定要使用共享文件時，應(yīng)對共享文件進行加密保護，并及時通知需要獲取共享信息的人

4、員，還應(yīng)及時撤消文件共享。6.1.11根據(jù)公司實際情況及安全需要，可考慮將自動設(shè)備鑒別作為一種證明從特定位置和設(shè)備進行連接的手段，如IP地址對應(yīng)計算機名。6.1.12非網(wǎng)絡(luò)系統(tǒng)管理人員不得使用系統(tǒng)實用程序（系統(tǒng)工具），防止對系統(tǒng)造成破壞。6.1.13對于重要的應(yīng)用（如財務(wù)系統(tǒng)）可考慮采取適當(dāng)?shù)倪B接時間限制和訪問控制，在不經(jīng)常使用時停止應(yīng)用系統(tǒng)或關(guān)閉設(shè)備。6.1.14對于信息系統(tǒng)審計工具（如漏洞掃描工具等）的訪問及使用應(yīng)加以限制及保護，禁止任何可能的濫用或誤用，防止對公司信息系統(tǒng)帶來損害。6.2 用戶訪問管理6.2.1 權(quán)限申請6.2.1.1所有用戶，包括第三方人員均需要履行訪問授權(quán)手續(xù)。授權(quán)流

5、程如下：a) 申請部門申請：申請部門根據(jù)業(yè)務(wù)及管理工作的需要，確定需要訪問的系統(tǒng)和訪問權(quán)限，經(jīng)過本部門領(lǐng)導(dǎo)同意后，向信息管理部提交“用戶授權(quán)申請表”。b)經(jīng)信息管理部領(lǐng)導(dǎo)審核后，將“用戶授權(quán)申請表”交訪問授權(quán)實施人員（如信息管理部網(wǎng)管人員）實施。c) 訪問授權(quán)實施人員實施授權(quán)。6.2.1.2“用戶授權(quán)申請表”應(yīng)對以下內(nèi)容予以明確：a) 權(quán)限申請人員；b) 訪問權(quán)限的級別和范圍；c) 申請理由；d) 有效期。6.2.2權(quán)限變更6.2.2.1對發(fā)生以下情況對其訪問權(quán)應(yīng)從系統(tǒng)中予以注銷：a) 內(nèi)部用戶雇傭合同終止時；b) 內(nèi)部用戶因崗位調(diào)整不再需要此項訪問服務(wù)時；c) 第三方訪問合同終止時；d) 其

6、它情況必須注銷時。6.2.2.2由于用戶變換崗位等原因造成訪問權(quán)限變更時，用戶應(yīng)重新填寫“用戶授權(quán)申請表”，按照本標(biāo)準(zhǔn)6.2.1的要求履行授權(quán)手續(xù)。6.2.2.3信息管理部應(yīng)將人事變動情況及時通知各部門，訪問授權(quán)實施人員（如網(wǎng)管人員）應(yīng)及時收回其帳號和權(quán)限。6.2.2.4特權(quán)用戶因故暫時不能履行特權(quán)職責(zé)時，根據(jù)需要可以經(jīng)授權(quán)部門領(lǐng)導(dǎo)批準(zhǔn)后，將特權(quán)臨時轉(zhuǎn)交可靠人員；特權(quán)用戶返回工作崗位時，收回臨時特權(quán)人員的特權(quán)。6.2.3 用戶訪問權(quán)的維護和評審6.2.3.1對于任何權(quán)限的改變(包括權(quán)限的創(chuàng)建、變更以及注銷)，訪問授權(quán)實施人員應(yīng)進行記錄，填寫“用戶授權(quán)申請表”包括：a) 權(quán)限開放/變更/注銷時間

7、；b) 變化后權(quán)限內(nèi)容；c) 開放權(quán)限的管理員。6.2.3.2授權(quán)管理部門每半年應(yīng)對訪問權(quán)限進行檢查，發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，應(yīng)通知訪問授權(quán)實施人員予以調(diào)整或注銷。6.2.3.3授權(quán)管理部門應(yīng)對訪問權(quán)限的檢查結(jié)果予以記錄。6.3 用戶口令管理6.3.1各系統(tǒng)訪問授權(quán)實施人員應(yīng)按以下過程對被授權(quán)訪問該系統(tǒng)的用戶口令予以分配：a) 在生成帳號時，系統(tǒng)管理員應(yīng)該分配給合法用戶一個唯一的安全臨時口令，并通過安全渠道傳遞給用戶，并要求用戶在第一次登錄時更改臨時口令；b) 當(dāng)用戶忘記口令時，系統(tǒng)管理員在獲得用戶的確認(rèn)后可以為其重新分配口令。6.3.2 口令策略所有計算機用戶在使用口令時應(yīng)遵循以下原則：a)

8、所有活動帳號都必須有口令保護。 b) 所有系統(tǒng)初始默認(rèn)口令必須更改。 c) 口令輸入時不應(yīng)將口令的明文顯示出來，應(yīng)該采取掩蓋措施。 d) 口令必須至少要含有6個字符。 e) 口令不能和用戶名或登錄名相同。f) 口令不能是字典中能夠找到的詞。 g) 口令不能采用姓名、電話號碼、生日等容易猜測的口令，不得用連續(xù)的數(shù)字或字母群。h) 口令必須是保密的，不能共享、含在程序中或?qū)懺诩埳?。i) 口令不能通過明文電子郵件傳輸。 j) 口令不能通過語音或移動電話告知。 k) 口令不能以明文形式保存在任何電子介質(zhì)中。 l) 口令不能在工作組中共享以保證可以通過用戶名追查到具體責(zé)任人。 m) 用戶應(yīng)該在不同的系統(tǒng)

9、中使用不同的口令。 n) 可以在PGP或強度相當(dāng)?shù)募用艽胧┑谋Ｗo下將口令存放在電子文件中。 o) 任何時候有跡象表明系統(tǒng)或口令可能受到損害，就要更換口令。p) 一般用戶口令至少一年變更一次，特權(quán)用戶口令至少每半年變更一次；對于用戶口令的變更會影響應(yīng)用程序運行的情況，該用戶的口令可以在適當(dāng)?shù)臅r機予以變更。6.4 第三方訪問6.4.1第三方訪問是指本公司以外其他組織/人員對本公司的信息系統(tǒng)的邏輯訪問。6.4.2第三方訪問包括網(wǎng)絡(luò)訪問、操作系統(tǒng)訪問、數(shù)據(jù)庫訪問、信息系統(tǒng)訪問。6.4.3第三方訪問前各責(zé)任部門要對第三方訪問可能導(dǎo)致的風(fēng)險進行評估，采取適當(dāng)?shù)目刂拼胧ㄈ纾菏跈?quán)、簽署保密協(xié)議等），維護被第

10、三方訪問的本公司信息處理設(shè)施和信息資產(chǎn)的安全。6.4.4 第三方授權(quán)的方式包括簽訂協(xié)議和臨時訪問授權(quán)兩種方式。6.4.4.1與本公司建立長期業(yè)務(wù)合作關(guān)系，需要經(jīng)常在公司內(nèi)工作的第三方及長期邏輯訪問本公司信息系統(tǒng)的第三方，應(yīng)與其簽訂安全條款或保密協(xié)議；規(guī)定其在公司內(nèi)活動的場所范圍，時間和人員資格的要求，以及違反安全規(guī)定協(xié)議須承擔(dān)的法律賠償責(zé)任等，必要時對其工作人員進行資格審查。6.4.4.2 如果屬于臨時參觀學(xué)習(xí)或業(yè)務(wù)工作需要的第三方訪問采用臨時授權(quán)方式。6.4.5第三方訪問的授權(quán)6.4.5.1第三方在訪問本公司網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、信息系統(tǒng)時需要書面授權(quán)。6.4.5.2授權(quán)權(quán)限的規(guī)定：a) 訪問敏感信息須經(jīng)對應(yīng)部門負(fù)責(zé)人及公司領(lǐng)導(dǎo)批準(zhǔn)授權(quán)；b) 所有的邏輯訪問均需信息管理部部負(fù)責(zé)人審核，報公司領(lǐng)導(dǎo)批準(zhǔn)授權(quán)后方可進行；c) 第三