《B29信息安全-用户访问管理程序.docx》由会员分享,可在线阅读,更多相关《B29信息安全-用户访问管理程序.docx(5页珍藏版)》请在第一文库网上搜索。
1、深圳市*科技有限公司用户访问管理程序编 号:SMS-B-29版本号:VI. 0编制:日期:2021-8-5审核:日期:2021-8-5批准:日期:2021-8-5受控状态|受控文件1目的为对本组织各种应用系统的用户访问权限(包括特权用户及相关方用户)实施有效控制,杜绝非法访问,确保系统和信息的安全,特制定本程序。Eq本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。3职责3.1管理者代表负责访问权限的申请、审批。3. 2综合管理部负责向各部门通知人事变动情况。负责外来人员物理访问控制。综合管理部网络管理员负责访问控制的技术管理以及访问权限控制和实施。4相关文件信息安全管理手册口令控制策略
2、5程序1.1 访问控制策略组织内的信息根据敏感等级,分别向不同职位的员工公开。a)组织的宣传文件、制度、培训材料、参考文献可向全体员工公开;b)人事信息只向综合管理部公开;c)财务信息只向财务部公开;d)业务信息只在相关业务人员间公开。IT人员根据不同类别的信息,设置其访问权限。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。各系统信息安全管理小组应编制系统访问权限说明书,明确规定访问规则。1.2 用户访问管理5. 2.1权限申请所有用户,包括相关方人员均需要履行访问授权手续。申请部门根据业务、管理工作的需要,确定需要访问的系统和访问权限,经过本部门经理同意后,向信息安全管理小组提交用
3、户访问授权申请表,信息安全管理小组在用户访问授权登记表上登记。用户访问授权申请表应对以下内容予以明确:a)权限申请人员;b)访问权限的级别和范围;c)申请理由;d)有效期。经信息安全管理小组审核批准后,将用户访问授权申请表交综合管理部,综合管理部网络管理员实施授权。相关方和第三方服务人员的访问申请由负责接待的部门按照上述要求予以办理。但相关方和第三方服务人员一般不允许成为特权用户。必要时,相关方人员需与访问接待部门签订相关方保密协议或第三方服务保密协议。6. 2. 2权限变更对发生以下情况对其访问权应从系统中予以注销:a)内部用户雇佣合同终止时;b)内部用户因岗位调整不再需要此项访问服务时;c
4、)相关方访问合同终止时;d)其它情况必须注销时。由于用户变换岗位等原因造成访问权限变更时,用户应重新填写用户访问授权申请表,按照本程序5.2. 1的要求履行授权手续。综合管理部应将人事变动情况及时通知各部门,网络管理员进行权限设置更改。特权用户因故暂时不能履行特权职责时,根据需要可以经授权部门经理批准后,将特权临时转交可靠人员;特权用户返回工作岗位时,收回临时特权人员的特权。5. 2.3用户访问权的维护和评审对于任何权限的改变(包括权限的创建、变更以及注销)、访问,综合管理部应进行记录,填写用户访问授权申请表包括:a)权限开放/变更/注销时间;b)变化后权限内容;c)开放权限的管理员。信息安全
5、管理小组每半年应对访问权限进行检查,发现不恰当的权限设置,应通知综合管理部网络管理员予以调整。信息安全管理小组每季度应对特权用户访问权限进行检查,发现过期的权限设置,应通知综合管理部网络管理员予以注销。信息安全管理小组应对访问权限的检查结果应记录在访问权限评审记录上。5.3 用户口令管理综合管理部网络管理员应按以下过程对被授权访问该系统的用户口令予以分配:a)分配给用户一个安全临时口令,并通过安全渠道传递给用户,并要求用户在第一次登录时更改临时口令;b)当用户忘记口令时,系统管理员在获得用户的确认后可以为其重新分配口令。所有用户在选择与使用口令时应严格遵守组织的口令策略。5.4 外来人员物理访问外来人员的物理访问由综合管理部控制,当有来访者要进入本组织时,必须先向组织申请,并说明访问目的及访问人员,在登记完第三方物理访问申请授权表后,综合管理部人员通知受访部门人员后,才可进入组织内部。46记录系统访问权限说明书用户访问授权申请表用户访问授权登记表第三方物理访问申请授权表相关方保密协议第三方服务保密协议访问权限评审记录5