28用户访问管理程序.doc

文档编号：XXXX-IT/ISMS-B-28

XXXX有限公司

IT/ISMS程序文件

用户访问管理程序

拟制

编制小组

审核

XXX

批准

XXX

日期

2023-01-10

日期

2023-01-10

日期

2023-01-10

修订记录

日期

版本

修订内容概要

拟制

审核

批准

2023-01-10

A/0

首次发布

编制小组

XXX

XXX

XXXX有限公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。

目录

TOC\o1-2\h\z\u6474目录 2

7421目的 3

321392范围 3

8643职责 3

317494相关文件 3

290205程序 3

149686记录 5

20207《系统访问权限说明书》 5

16530《用户访问授权申请表》 5

9021《用户访问授权登记表》 5

18034《用户访问权限评审记录》 5

1目的

为对本组织各种应用系统的用户访问权限（包括特权用户及相关方用户)实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。

2范围

本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。

3职责

3.1各部门职责

负责访问权限的申请、审批、执行。有信息系统的部门负责各部门的信息系统权限控制。由综合部通知人事变更情况，按照人事变更情况变更相应权限。

综合部：负责财务系统及设备维护系统的用户权限控制。

综合部：负责SVN系统及设备维护的用户权限控制。

综合部：负责漏洞扫描系统及设备维护的用户权限控制。

3.2综合部职责

负责向各部门通知人事变动情况。

负责外来人员物理访问控制。

负责邮件系统的用户权限访问控制。

负责公司网站内部管理用户权限访问控制

负责电话、网络权限控制

4相关文件

《信息安全及信息技术服务管理手册》

《口令控制策略》

5程序

5.1访问控制策略

组织内的信息根据敏感等级，分别向不同职位的员工公开。

组织的宣传文件、制度、培训材料、参考文献可向全体员工公开；

人事信息只对综合部公开；

财务信息只对财务人员公开；

业务信息只对相关业务人员公开。

各部门系统管理人员根据不同类别的信息，设置其访问权限。

用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

各部门应编制《系统访问权限说明书》，明确规定访问规则。

5.2用户访问管理

5.2.1权限申请

所有用户，包括相关方人员均需要履行访问授权手续。申请部门根据业务、管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，向相关部门系统管理人员提交《用户访问授权申请表》，负责部门相关人员在《用户访问授权登记表》上登记。

《用户访问授权申请表》应对以下内容予以明确:

权限申请人员；

访问权限的级别和范围；

申请理由；

有效期。

如果是公司有新入职人员，按照综合部提交的入职申请表，相关部门需要按照系统访问权限说明书，给予相应的用户权限。

如果不是新入职或离职员工，在系统使用过程中需要变更信息系统用户权限的用户，需要提交

《用户访问授权申请表》给部门经理签字、然后提交到相应信息系统管理部门的系统管理员，由系统管理员给予相应用户权限，相关方和第三方服务人员的访问申请由负责接待的部门按照上述要求予以办理。但相关方和第三方服务人员一般不允许成为特权用户。必要时，相关方人员需与访问接待部门签订《信息安全保密协议》。

对于需要申请配置管理系统软件权限的人员，按以下规定执行：

项目内由于人员变动或非本项目成员，由配置管理人员分配相关权限，并在《用户访问授权登记表》上登记。

客服任务需授予相关配置项权限的，由配置管理人员直接按照部门任务的内容分派权限

跨部门申请配置库权限，相关部门经理或高管审批，由配置人员分配权限，并在《用户访问授权登记表》上登记。

5.2.2权限变更

对发生以下情况对其访问权应从系统中予以注销：

内部用户雇佣合同终止时；

内部用户因岗位调整不再需要此项访问服务时；

相关方访问合同终止时；

其它情况必须注销时。

如果是公司有离职人员，按照综合部提交的离职交接单，相关部门需要按照系统访问权限说明书，取消相应的用户权限。

由于用户变换岗位等原因造成访问权限变更时，用户应重新填写《用户访问授权申请表》，按照本程序5.2.1的要求履行授权手续。综合部应将人事变动情况及时通知各部门。如涉及到SVN权限变更时，相关部门经理或高管审批，由配置人员分配权限，并在《用户访问授权登记表》上登记。

特权用户因故暂时不能履行特权职责时，根据需要可以经授权部门经理批准后，将特权临时转交可靠人员；特权用户返回工作