用户访问管理程序-ISO27001体系.docx

密级等级：机密 受控状态：受控 文件编号： HW 用户访问管理程序 2019年01月10日 广东***技术股份有限公司 内部资料 版权所有 未经允许 不得抄印 变 更 履 历 版本 编制人 / 审核人 / 批准人 / 变更内容 审核日期 备注 创建日期 批准日期 罗 ** 沈 ** 黄 ** 初始版本，文档建立 目的 为对本组织各种应用系统的用户访问权限（包括特权用户及相关方用户 ) 实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。 范围 本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。 职责 各部门 负责访问权限的申请、审批。 研发中心 负责访问控制的技术管理以及访问权限控制和实施。 行政中心 负责外来人员物理访问控制。 负责向各部门通知人事变动情况。 相关文件 《信息安全管理手册》 《口令策略》 程序 访问控制策略 组织内的信息根机密感等级，分别向不同职位的员工公开。 组织的宣传文件、制度、培训材料、参考文献可向全体员工公 开； 人事信息只对人力资源部开放； 财务信息只对财务部开放； 研发信息只对研发人员开发； 业务信息只在相关业务人员间公开。研发中心人员根据不同类 别的信息，设置其访问权限。 用户不得访问或尝试访问未经授权的网络、系统、文件和服务。 各系统信息安全管理小组应编制《系统访问权限说明书》 ，明确规定访问规 则。 用户访问管理 权限申请 所有员工用户， 包括相关方人员均需要履行访问授权手续。 申请部门根据业务、管理工作的需要， 确定需要访问的系统和访问权限， 经过本部门经理同意后，向信息安全管理小组提交《用户访问授权申请表》 ，信息安全管理小组在《用户访问授权登记表》上登记。 《用户访问授权申请表》应对以下内容予以明确 : 权限申请人员； 访问权限的级别和范围； 申请理由； 有效期。 经部门主管审核批准后， 研发中心将根据《用户访问授权申请表》 实施授权。 相关方和第三方服务人员的访问申请由负责接待的部门按照上述要求予以 办理。但相关方和第三方服务人员不允许成为特权用户。 必要时，相关方人员需与访问接待部门签订《相关方保密协议》或《第三方服务保密协议》 。 特殊权限的管理 对于信息处理设施 （硬件、软件和物理区域） 的特殊权限应尽力控制在最小的范围内，对特殊权限的授权应有填写《特殊权限授权书》 ，经总经理批准后方可实施。 权限变更 对发生以下情况对其访问权应从系统中予以注销： 内部用户雇佣合同终止时； 内部用户因岗位调整不再需要此项访问服务时； 相关方访问合同终止时； 其它情况必须注销时。 由于用户变换岗位等原因造成访问权限变更时， 用户应重新填写 《用户访问授权申请表》，按照本程序，系统管理员进行权限设置更改。 特权用户因故暂时不能履行特权职责时， 根据需要可以经授权部门经理批准后，将特权临时转交可靠人员； 特权用户返回工作岗位时， 收回临时特权人员的特权。 用户访问权的维护和评审 对于任何权限的改变（包括权限的创建、变更以及注销） ，研发中心应进行记录，填写《用户访问授权申请表》包括： 权限开放 / 变更 / 注销时间； 变化后权限内容； 开放权限的管理员。 行政中心每半年应对访问权限进行检查， 发现不恰当的权限设置， 应通知研 发中心予以调整。 行政中心每季度应对特权用户访问权限进行检查， 发现过期的权限设置， 应 通知研发中心予以注销。 信息安全管理小组应对访问权限的检查结果应记录在《访问权限评审记录》 上。 用户口令管理 系统管理员应按以下过程对被授权访问该系统的用户口令予以分配： 分配给用户一个安全临时口令，并通过安全渠道传递给用户 , 并要求用户在第一次登录时更改临时口令； 当用户忘记口令时，系统管理员在获得用户的确认后可以为其重新分配口令。 所有用户在选择与使用口令时应严格遵组织的《口令策略》 。 外来人员物理访问 外来人员的物理访问区域时受行政中心控制，当有来访者要进入本组织时， 必须说明访问目的及访问人员， 在登记完《来访登记单》 后，前台发放访客证后，在人员陪同下方可进入组织内部。 记录 《系统访问权限说明书》 《特殊权限授权书》 《用户访问授权申请表》 《访问权限评审记录》