isms-2010信息系统访问管理程序.docxVIP

信息技术 -安全技术 -信息安全程序文件 深圳市首品精密模型有限公司 ISMS信息系统访问管理程序 文件编号 :ISMS-2010 编制 审核 批准 1 / 6 信息技术 -安全技术 -信息安全程序文件 变更履历 版 本 编 号 简要说明 ( 变更内容、 序 或 更 改 记 变更位置、变更原因和 变更日期 变更人 审核人 批准人 批准日期 号 录编号 变更范围 ) 1 A/0 初始发行 - - - - 2016-8-5 2 / 6 信息技术 -安全技术 -信息安全程序文件 目的 为规范信息部对各系统的访问控制，预防对系统的未授权的访问特制定此文件。 范围 本程序适用于 IT 核心系统及外围系统的维护、登录与管理。 相关文件 《口令管理规定》 职责 4.1 机房管理员负责中心机房的维护、运行及管理。 4.2 信息部其他人员配合机房管理员的工作。 程序 5.1 各系统安全登录程序 5.1.1 由机房管理员对登录程序应进行检查确保登录程序满足如下要求： （a）不显示系统或应用标识符，直到登录过程已成功完成为止； （b）在登录过程中，不提供对未授权用户有帮助作用的帮助消息； （c）仅在所有输入数据完成时才验证登录信息。如果出现差错情况，系统不应指出数据的哪一 部分是正确的或不正确的； （d）限制所允许的不成功登陆尝试的次数（推荐 3 次）并考虑： 1）使用策略或其他手段记录不成功的尝试； 3 / 6 信息技术 -安全技术 -信息安全程序文件 2）在允许进一步登录尝试之前，强加一次延迟，或在没有特定授权情况下拒绝任何进一 步的尝试； 3）断开数据链路链接； 4）如果达到登录的最大尝试次数，向系统控制台（或向机房管理员）发送警报消息； 5）结合口令的最小长度和被保护系统的价值（风险评估的结果或内部存储信息的价值） 设置口令重试的次数； e）限制登录程序所允许的最大和最小次数。如果超时，则系统应终止登录； f ）在成功登陆完成时，显示下列信息： 1）前一次成功登陆的日期和时间； 2）上次成功登陆之后的任何不成功登陆尝试的细节； g）不显示输入的口令或考虑通过符号隐蔽口令字符； h）不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2 登录程序满足上述要求后， 任何核心系统或外围系统的登录操作应被相关负责人授权方可进行 登录。 5.1.3 相关职能人员得到授权后， 对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销 当前用户将系统至于登录状态，防止未授权访问发生的可能。 5.1.4 其他部门人员因业务需要， 需登录信息部核心系统或外围系统时， 必须由中心机房管理人员全 程陪同。 5.2 用户身份标识和鉴别 5.2.1 信息部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、 专供个人 使用的用户 ID 及口令。 5.2.2 机房管理员对中心机房各系统建立用户 ID 身份鉴别策略，以确保用户 ID 的任何活动都可以追 踪到各个责任人。常规业务操作不可以使用有特殊权限的账户执行。 5.2.3 如在特定时间内机房管理员需平凡操作或登录核心系统或外围系统，则可由机房管理员提出 《外部公司机房特殊业务工作单》 由信息部总经理审批， 审批通过后再特定时间内机房管理员可以随 4 / 6 信息技术 -安全技术 -信息安全程序文件 时访问核心系统或外围系统，访问期间必须留有系统的日志审核记录以便事后查阅。 5.2.4 机房管理员应管理核心系统及外围系统的访问权限， 确保普通 ID 或特定 ID 只有其工作范围内 的权限（如：普通 ID 只有对系统的只读权限，特定 ID 只具有在特定目录下有访问权限其他目录均无 权限）依照《口令管理规定》对权限形成记录并定期进行检查。 5.2.5 进入中心机房或前置机房或备份机房时需使用指纹方可进入， 不经相关负责人授权任何人不得 以任何理由使用自己的指纹替他人开启以上区域。 5.3 口令管理 5.3.1 在登录核心系统或外围系统时，必须使用自己的用户 ID 及口令，确保身份的可核查。 5.3.2 信息部员工需要登录核心系统或外围系统需要提交《系统访问授权书》 ，如果是第一次登陆且 没有用户 ID 及密码则按照《口令管理规定》进行用户 ID 的申请，由机房管理员根据申请添加用户 ID 及默认密码并且设置密码历史记录（推荐记录 3 次），用户在第一次登陆后必须对密码进行更改， 否则由机房管理员强行收回用户 ID。 5.3.3 口令必须是由数字、字幕、符号，长度 7 位组成并且不可以使用例如：生日、姓名、电话号码 等易于猜解的密码。 5.3.4 口令的存放可查看《口令管理规定》 5.4 系统实用工具的使用 5.4.1 系统实用工具是指可能超越系统和应用程序控制措施的实用