1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 办公文档
  5. 规章制度

访问控制制度.docxVIP

访问控制制度.docx

    1. 1、本文档共6页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    访问控制制度

    文件编号:

    .目的和范围

    通过控制用户权限正确管理用户,实现控制办公网系统和应用系统访问权限与访问权限的分配,防止对办公网系统和应用系统的非法访问,防止非法操作,保证生产系统的可用性、完整性、保密性,以及规范服务器的访问。

    本访问控制制度适用于系统维护部以及其他拥有系统权限的管理部门。

    .引用文件

    1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

    GBZT22080-2016/IS0/IEC27001:2013信息技术-安全技术-信息安全管理体系要求

    GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则

    .职责和权限

    各部门必须遵照本管理规范实行对用户、口令和权限的管理,用户必须按照本管理规范访问公司办公网系统和应用系统。

    .用户管理

    .用户注册

    1)只有授权用户才可以申请系统账号,账号相应的权限应该以满足用户需要为原则,不得有与用户职责无关的权限。

    一人一账号,以便将用户与其操作联系起来,使用户对其操作负责,禁止多人使用同一个账号。

    3)用户因工作变更或离职时,管理员要及时取消或者锁定其所有账号,对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。

    4)管理员应每季度检查并取消多余的用户账号。

    .用户口令管理和使用

    引用文件:《密码控制管理制度》

    .权限管理

    用户权限管理原则

    1)所有的重要服务器应用系统要有明确的用户清单及权限清单,每季度进行一次权限评审。

    2)重要设备的操作系统、数据库、重要应用程序相关的特殊访问权限的分配需进行严格管理。

    3)对一般用户只拥有在注册时所审批的权限。

    4)每个人分配的权限以完成相应工作最低标准为准。服务器口志的安全审查职责与日常工作权限责任分割。

    5)新账号开通时提供给他们一个安全的临时登录密码,并在首次使用时强制改变。

    6)为防止未授权的更改或误用信息或服务的机会,按以下要求进行职责分配:

    a)系统管理职责与操作职责分离;

    b)信息安全审核具有独立性。

    用户访问权限设置步骤

    1)权限设置:对信息的访问权限进行设置,添加该用户的相应访问权,设置权限,要再次确认,以保证权限设置正确。

    2)定期检查用户账户:管理员每季度对应用系统进行一次权限评审。

    3)取消访问权:离开公司应立即取消或禁用其账号及所有权限,将其所拥有的信息备份保存,或转换接替者为持有人。用户的岗位发生变化时,要对其访问权限重新授权。

    .操作系统访问控制

    安全登录制度

    UNIX、1.lNUX系统使用SSH登录系统。

    2)进入操作系统必须执行登录操作,禁止将系统设定为自动登录。

    3)记录登录成功与失败的日志。

    4)日常非系统管理操作时,只能以普通用户登录。

    5)启用操作系统的口令管理策略(如口令至少8位,字母数字组合等),保证用户口令的安全性。

    会话超时与联机时间的限定

    1)重要服务器应设置会话超时限制,不活动会话应在一个设定的休止期5分钟后关闭。

    2)应考虑对敏感的计算机应用程序,特别是安装在高风险位置的应用程序,使用连机时间的控制措施。这种限制的示例包括:

    使用预先定义的时间间隔,如对批量文件传输,或定期的短期交互会话等情况使用指定的时间间隔;

    如果没有超时或延时操作的要求,则将连机时间限于正常办公时间;

    .应用系统访问控制

    1)根据《重要服务器■应用系统清单》,填写《重要应用系统权限评审表》,每季度评审一次。

    2)各应用系统必须确定相应的系统管理员、数据库管理员和应用管理员。

    3)应用系统的用户访问控制,用户的申请应填写相关系统的申请表,须经过应用系统的归口主管部门审核同意,由系统管理员授权并登记备案后,方可使用相应的应用系统。

    4)如果发生人员岗位变动,业务部门信息安全主管通知部门信息安全员与相关应用系统管理员联系,告知系统管理员具体的人员变动情况,便于系统管理员及时调整岗位变动人员的系统访问权限。

    5)应用系统的用户必须遵守各应用系统的相关管理规定,必须服从应用系统的管理部门的检查监督和管理。禁止员工未经授权使用系统实用工具。

    6)应用系统用户必须严格执行保密制度。对各自的用户帐号负责,不得转借他人使用。

    7)重要应用系统用户清单及权限必须进行定期评审。

    .网络和网络服务访问控制

    1)所有员工在工作时间禁止利用公司网络和互联网专线访问违法网站及内容。

    2)客户及第三方人员不允许直接通过可访问公司资源的有线或无线网络访问Internet,客户及第三方人员如需访问Intemet应当在专设的隔离区进行。

    3)员工须通过VPN访问公司相关网络和网络服务。

    4)需

    您可能关注的文档

    最近下载

    文档评论(0)

    livestudy + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >