用户访问控制程序.docx

《用户访问控制程序.docx》由会员分享，可在线阅读，更多相关《用户访问控制程序.docx（8页珍藏版）》请在第壹文秘上搜索。

1、文件编号：JLH-ISMS-007制订日期：2014年Ol月05日版本：Al页码：第1页共6页一文名一用户访问控制程序文件修改记录序号版本修改内容简要生效日期1AO新作成2014/01/05文件保管及审批序号分发单位总页数：7页编制：日期：2014-01-05审核：H期：批准：日期：1适用适用于本公司的各种应用系统涉及到的逻辑访问的控制。2目的为对本公司各种应用系统的用户访问权限（包括特权用户及第三方用户）实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。3职责3.1 各系统的访问授权管理由管理部负责访问权限的分配、审批。3.2 各系统的访问授权实施部门负责访问控制的技术管理以及

2、访问权限控制和实施。3.3 行政部负责向各部门通知人事变动情况。4程序4.1访问控制策略4.1.1 公司内部可公开的信息不作特别限定，允许所有用户访问。4.1.2 公司内部部分不公开信息，经访问授权管理部门认可，访问授权实施部门实施后用户方可访问。4. 本公司限制使用无线网络，对连接到互联网和局域网的设备采用粘贴标签的方法清晰的标明设备的连接属性（根据敏感程度，可查表获得权限，如IP歹U表）5. 1.4用户不得访问或尝试访问未经授权的网络、系统、文件和服务。4.2用户访问管理4.2.1 权限申请4.2.1.1 授权流程部门申请一一授权管理部门审批一一访问授权部门实施所有用户，包括第三方人员均需

3、要履行访问授权手续。申请部门根据日常管理工作的需要，确定需要访问的系统和访问权限,经过本部门经理同意后，向访问授权管理部门提交用户授权申请表，经访问授权管理部门审核批准后，将用户授权申请表交访问授权实施部门实施。第三方人员的访问申请由负责接待的部门按照上述要求予以办理。第三方人员一般不允许成为特权用户。必要时，第三方人员需与访问接待部门签订保密协议。4. 2.1.2用户授权申请表应对以下内容予以明确：a）权限申请人员b）访问权限的级别和范围c）申请理由d）有效期4.2. 2.1对发生以下情况对其访问权应从系统中予以注销：a）内部用户雇佣合同终止时；b）内部用户因岗位调整不再需要此项访问服务时；

4、c）第三方访问合同终止时；d）其它情况必须注销时。4.3. 2.2由于用户变换岗位等原因造成访问权限变更时，用户应重新填写用户授权申请表，按照本程序4.2.1的要求履行授权手续。4.4. 2.3行政部应将人事变动情况及时通知各部门，访问授权实施部门管理员进行权限设置更改。4.5. 2.4特权用户因故暂时不能履行特权职责时，根据需要可以经授权部门经理批准后，将特权临时转交可靠人员；特权用户返回工作岗位时，收回临时特权人员的特权。4.2.3用户访问权的维护和评审1 .2.3.1对于任何权限的改变（包括权限的创建、变更以及注销），访问授权实施部门应进行记录，填写用户授权申请表包括：a）权限开放/变更

5、/注销时间；b）变化后权限内容;c)开放权限的管理员4 .2.3.2授权管理部门每半年应对访问权限进行检查，发现不恰当的权限设置，应通知访问授权实施部门予以调整。4.2.3.3特权授权管理部门每季度应对特权用户访问权限进行检查，发现过期的权限设置，应通知访问授权实施部门予以注销。4.2.3.4授权管理部门应对访问权限的检查结果予以记录。4.2.4连接的控制4.2.4.1本公司不存在无线网络、专线和回拨调制解调器等与外部网络的连接。本公司目前暂不使用VPN、远程登录工作、WEB服务器、邮件服务器。4.2.4.2本公司网络管理员为了限制网络连接的不同身份与权限，通过设置网关来加以控制。4.2.5会

6、话与联机时间的控制4.2.5.1各系统管理员在其管理的服务器处于不活动时，应利用锁屏(LOCKSCREEN)清除屏幕，以防止非授权的访问，但不关闭应用或网络话路。终端用户应在暂停操作控制时，及时启用带有口令保护的自动屏保功能。4.25.2本公司将连机时间限于正常的办公时间；对数据服务器、备份服务器的连接时间设定为2小时/次。4.3.1各系统访问授权实施部门管理员应按以下过程对被授权访问该系统的用户口令予以分配：分配给用户一个安全临时口令，并通过安全渠道传递给用户，并要求用户在第一次登录时更改临时口令；当用户忘记口令时,系统管理员在获得用户的确认后可以为其重新分配口令。4.3.2口令的选择与使用

7、要求所有计算机用户在使用口令时应遵循以下原则：4.3.2.1保守口令的机密性，避免保留口令的字面记录，明文存储或明文网络传递。4.3.2.2任何时候有迹象表明系统或口令可能受到损害，就要更换口令。4.3.2.3口令最小长度8位，不要采用姓名、电话号码、生日等别人容易猜测或得到的口令，不要用连续的数字或字母群。4.3.2.4一般用户口令至少一年变更一次，特权用户口令每半年变更一次;对于用户口令的变更会影响应用程序运行的情况，该用户的口令可以在适当的时机予以变更。43.2.5在第一次登录时，需要更换临时口令。4. 3.2.6口令应妥善保存，不要共享个人用户口令。4.4访问记录管理需要保留系统访问的记录，包括系统日志和访问日志等。