1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 行业资料
  5. 国内外标准规范
网站大量收购闲置独家精品文档,联系QQ:2885784924

ISO27001-用户访问控制程序.docx

ISO27001-用户访问控制程序.docx

    1. 1、本文档共8页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    用户访问控制程序

    (依据IS027001标准)

    1.目的

    为明确公司信息系统的访问控制准则,确保访问控制措施有效,特制定本程序。

    2.范围

    本程序适用操作系统、数据库、各应用系统的逻辑访问控制,物理访问按《安全区域控制程序》进行控制。

    3.职责与权限

    3.1技术部负责公司信息系统相关访问权限的分配、审批,以及帐号口令管理。

    3.2其他部门各部门根据实际需要向技术部提交账号及访问权限的申请,协助技术部人员对用户账号及权限进行定期复查。

    4.相关文件

    《计算机管理程序》

    5.术语定义

    6.控制程序

    6.1访问控制策略

    本公司目前的网络服务主要有互联网上网服务,供内部员工进行日常办公。

    公司办公电脑仅能通过有线网络线缆接入公司网络,无线网络仅供经过公司授权的人员使用。

    用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

    外部来访人员需要使用公司网络服务必须经过相关负责人同

    意,才能授权其使用。不得将访问密码随意告知不必要的人员。

    外部来访人员需要使用公司无线网络时应经过公司授权并登记后,无线网络管理人员应代为输入访问密码,不得直接告知密码,确保无线访问密码的安全。

    6.1.6外部人员离开时应及时收回其访问权限,并根据情况及时修改原来的访问密码。

    6.1.7用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件)等。

    6.1.8用户不得私自撤除或更换网络设备。6.1.9公司内部网络及系统的维护一般采用现场维护,如确有需要使用远程方式维护,应确保有相应的身份验证(如登录密码)等安全保护措施,远程维护完毕应及时关闭远程维护端口。

    6.1.10公司员工在不必要的情况下尽量不要使用文件共享,一定要使用共享文件时,应对共享文件进行加密保护,并及时通知需要获取共享信息的人员,还应及时撤消文件共享。

    6.1.11根据公司实际情况及安全需要,可考虑将自动设备鉴别作为一种证明从特定位置和设备进行连接的手段,如IP地址对应计算机名。

    6.1.12非网络系统管理人员不得使用系统实用程序(系统工具),防止对系统造成破坏。

    6.1.13对于重要的应用(如财务系统)可考虑采取适当的连接时间限制和访问控制,在不经常使用时停止应用系统或关闭设备。

    6.1.14对于信息系统审计工具(如漏洞扫描工具等)的访问及使用应加以限制及保护,禁止任何可能的滥用或误用,防止对公司信息系统带来损害。

    6.2用户访问管理

    6.2.1权限申请

    所有用户,包括第三方人员均需要履行访问授权手续。授权流程如下:

    申请部门申请:申请部门根据业务及管理工作的需要,确定需要访问的系统和访问权限,经过本部门领导同意后,向技术部提交“用户授权申请表”。

    经技术部负责人审核后,将“用户授权申请表”交访问授权实施人员(如技术部网管人员)实施。

    访问授权实施人员实施授权。

    6.2.1.2“用户授权申请表”应对以下内容予以明确:

    权限申请人员;

    访问权限的级别和范围;

    申请理由;

    有效期。

    权限变更

    6.2.2.1对发生以下情况对其访问权应从系统中予以注销:

    内部用户雇佣合同终止时;

    内部用户因岗位调整不再需要此项访问服务时;

    第三方访问合同终止时;

    其它情况必须注销时。

    由于用户变换岗位等原因造成访问权限变更时,用户应重新填写“用户授权申请表”,按照本标准6.2.1的要求履行授权手续。

    用人部门应将人事变动情况及时通知技术部,访问授权实施人员(如网管人员)应及时收回其帐号和权限。

    特权用户因故暂时不能履行特权职责时,根据需要可以经授权部门领导批准后,将特权临时转交可靠人员;特权用户返回工作岗位时,收回临时特权人员的特权。

    6.2.3用户访问权的维护和评审

    对于任何权限的改变(包括权限的创建、变更以及注销),访问授权实施人员应进行记录,填写“用户授权申请表”包括:

    权限开放/变更/注销时间;

    变化后权限内容;

    开放权限的管理员。

    授权管理部门每半年应对访问权限进行检查,发现不恰当的权限设置,应通知访问授权实施人员予以调整或注销。

    6.2.3.3授权管理部门应对访问权限的检查结果予以记录。

    6.3用户口令管理

    各系统访问授权实施人员应按以下过程对被授权访问该系统的用户口令予以分配:

    a)在生成帐号时,系统管理员应该分配给合法用户一个唯一的安全临时口令,并通过安全渠道传递给用户,并要求用户在第一次登录时更改临时口令;

    当用户忘记口令时,系统管理员在获得用户的确认后可以为其重新分配口令。

    6.3.2口令策略

    所有计算机用户在使用口令时应遵循以下原则:

    a)所有活动帐号都必须有口令保护。

    b)所有系统初始默认口令必须更改。

    口令输入时不应将口令的明文显示出来,应该采取掩盖措施。

    口令必须至少要含有6个字符。

    口令不能和用户名或登录名相同。

    口令不能是字典中能够找到的词。

    口令不能

    您可能关注的文档

    最近下载

    文档评论(0)

    duantoufa005 + 关注
    实名认证
    内容提供者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >