BSZ01192信息系统访问控制与授权管理办法.docVIP

共 NUMPAGES 20页　第 PAGE 20页 共 NUMPAGES 20页　第 PAGE 19页 2014年10月16日发布　　　　　　　　　　　　 　　2014年10月27日实施 共 NUMPAGES 20页　第 PAGE 1页 内部事项注意保存 内部事项 注意保存 文件编号：BSZ01192 第1版 　　　签发：陈德荣 信息系统访问控制及授权管理办法 1总则 1.1为保障宝钢集团有限公司（以下简称集团公司）的主机、网络安全、数据库、应用等信息系统的访问安全，规范系统的授权访问，加强信息安全管理，特制定本办法。 1.2本办法适用于集团公司总部、子公司及其续延分支机构（以下简称子公司）。 1.2.1主机、数据库、应用等信息系统的访问控制要求适用范围包括集团总部各系统、子公司接入系统及子公司重要的独立系统。 1.2.2网络安全系统适用范围为集团公司专用网、集团因特网专区、集团VPN网络、以及接入集团专用网的子公司区域网络。 1.2.3 与上述系统在同一系统环境（主机、网络、数据库）中的系统应按照本办法规定的原则实施访问控制，保障上述系统的安全。 1.3 集团公司信息系统实施4A管理，即“账号、授权、认证、审计”；按照“业务谁管理、功能谁授权，授权最小化”原则，分级授权管理。 2定义或术语 2.1资源:主机、网络安全、数据库和应用等信息系统，软件、设备、存储、数据专线等IT资产，以及带宽、IP、编码等资源的的统称。 2.2用户:信息系统使用者身份的唯一标识，集团公司信息系统用户使用宝钢网络通行证（以下简称通行证或宝钢通行证）管理用户。 2.2.1用户按来源分为宝钢员工（在岗、离岗）、返聘人员、股东监管（公司股东、外部董事、外部监事)、协力人员、合作伙伴（供应商、服务商、公司客户、外部审计），以及访问用户。 2.2.2用户按用途分为普通用户和超级用户（系统管理员），系统管理员包括主机、网络安全、数据库、应用等系统管理员。 2.2.3用户按有效期分为固定用户及临时用户。访问用户只能分配临时用户，临时用户的有效期原则上不超过7天，可续延。 2.2.4宝钢网络通行证：简称“网络通行证或宝钢通行证”，负责统一认证平台的用户管理，是统一认证平台管理用户、设备，以及接入系统账号的唯一识别码。 2.3账号:用户登录信息系统使用的唯一识别号。用户在不同系统可以有独立账号，原则上各系统应使用宝钢通行证（编号）作为各系统默认账号。除特殊规定外，每个系统每个用户只有唯一的账号。 2.4统一认证平台：统一认证管理平台及提供统一认证服务（CAS/LDAP/CA服务）的各系统总称。 2.5认证服务：指宝钢统一认证平台提供的认证服务，统一认证包括CAS认证服务、宝钢CA证书服务以及LDAP认证服务。 2.6系统分类：按照服务范围分为集团管控共享系统、经营共享系统和子公司自管系统；按照统一认证服务模式分为接入系统和独立系统；上述系统由统一认证系统实施清单管理。 2.6.1集团管控系统：集团公司范围使用的智慧办公/协同办公、人力资源、标准财务、内部审计等集团管控类系统。 2.6.2集团共享系统：集团公司范围使用的电子商务、科技管理、工程项目、学习系统、档案系统、不动产管理等共享系统。 2.6.3经营共享系统：多个公司共享使用的经营管理系统。 2.6.4公司自管系统：指本公司范围使用并管理信息系统。 2.6.5接入系统：接入统一认证平台、由平台提供统一认证服务的系统称为接入系统或认证系统。 2.6.6独立系统：没有使用统一认证服务的系统称为独立系统。 2.7网络分类：集团公司网络划分为集团专用网、集团因特网专区、集团VPN网络，子公司区域网（内网）。集团公司VPN网络是集团公司内网的延伸，按照内网要求实施访问控制。 3管理职责 3.1集团公司运营改善部负责组织制定集团公司范围使用系统的访问控制策略及安全审计,负责集团总部管理信息系统的授权归口管理，负责统一认证平台的管理。 3.2集团公司人力资源部负责集团总部信息系统用户的准入管理，由集团人力资源服务中心负责操作执行，包括统一认证平台集团总部信息系统用户网络通行证的新增、禁用、注销工作。 3.3各信息系统责任单位负责具体应用系统的准入授权（账号管理）及功能授权，负责相应系统的安全审计。 3.4各子公司负责本公司信息系统的资源（系统）管理与备案、用户管理、授权管理、安全审计及密码管理。子公司信息化归口管理部门负责信息系统的备案及安全审计；子公司人力资源部门负责集团统一认证平台本公司信息系统用户网络通行证的新增、禁用、注销及用户审计。 4访问控制 4.1 访问控制包括物理访问控制（机房