访问控制管理办法.docxVIP

内部公开

访问控制管理办法

主责部门：信息管理部

编制：年月日

审核：年月日

审查：年月日

批准：年月日

文件编号

版本号

A/0

收发管理号

受控状态（盖章）

实施日期：2024年9月14日

有限公司

文件编号

管理文件

页数

第

第PAGE3页共7页

访问控制管理办法

版本号

A/0

文件版本号

修改内容说明

修改处数

修改人

生效日期

1.目的

为对本组织信息资源的用户访问权限（包括特权用户及相关方用户)实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本办理办法。

2.适用范围

本程序适用于本组织的各种信息资源涉及到的物理及逻辑访问的管理。

3.职责

3.1信息管理部

3.1.1负责本制度的编制、修订和组织评审；

3.1.2负责访问权限的技术管理以及访问权限控制和实施。

3.2人力资源部

负责公司所有内部员工入职、调岗、离职等归口管理

3.3综合办公室

负责公司所有外来人员登记及物理访问控制等归口管理

3.3各部门

按照访问设定的规则执行

4.术语定义

4.1访问控制定义：

主体：用户、程序、进程

客体：计算机、数据库、文件、目录、窗口、打印队列、接口、设备（一般不将程序或进程视为客体）；

4.2身份标识、身份验证、授权与可问责性

确保可问责性的唯一方法是主体能够被唯一标识，并且主体的动作被记录在案

4.3特权账号：有最高和管理系统权限的账号，网络设备登入账号，服务器登入账号，远程访问账号，和组织觉得必要的账号。

4.4普通账号：除了特权账号以外的账号，一般只有信息的读、写、查询权限的账号。

5.工作程序

5.1访问控制管理

5.1.1员工门禁管理

1）厂区入口、办公楼入口等重要区域入口的门禁系统使用门禁卡、人脸识别并验证员工个人身份，控制进出。

2）创建：员工入职需在人力资源部办理员工卡并注册授权门禁系统及录取员工人脸信息。

3）变更及丢失：需到人力资源部先办理挂失手续后补办新卡按5.1.1重新注册授权。

4）归还：员工拾到他人员工卡需交到人力资源部办理挂失，防止他人盗用。

5）销毁/撤销：员工办理离职需收回员工卡由人力资源部进行统一销毁/撤销处理。

5.1.2访客门禁管理

1）所有访客需由受访部门申请，在入口门岗处登记访客身份信息及访问事由，门卫验明身份后并由接待人员陪同方可进入。

2）创建：访客终端登记接待人员，人员到访后门岗值班人员在终端系统中登记客户信息如：姓名、证件号码、来访时间、来访单位、来访原因。

3）变更：访问信息发生变更如：时间、人员、职务等须第一时间由接待人员告知门岗人员知晓；

4）认证及放行：访客到达门岗后，门卫验明身份无误后方可进行放行，并发放访客卡及打印访问标签给访客。

5）销毁/撤销：门岗值班人员根据被访部门签字确认的访问标签，外出放行，收回访问权限。

5.1.3机房门禁管理

1）采用指纹、机械锁进入机房大门、刷脸进入设备间的多层识别方式进行准入认证。

2）创建：由IT系统管理人员录入用户信息采集指纹、人脸；

3）变更：使用人手指受伤等原因导致系统无法识别的须告知IT管理员重新采集指纹；

4）丢失：用户指纹、人脸信息丢失管理需承担管理责任，并告知用户在3个工作日内完成重新采集工作；

5）销毁：员工离职后，需见员工离职办理手续或离职流程对其用户进行禁用；

5.2访问控制

5.2.1公司的用户帐号和密码是公司雇员授权访问公司范围内所有IT资源（网络，应用等）的有效凭证。不同的IT资源可能需要不同的账号和密码，包括不限于网络访问、业务系统、共享文件、电脑登录等。基于风险评估对于高保护需求的数据需要通过强密码或双因素认证。

5.2.2公司使用域控管理客户端，操作系统补丁统一分发等，增强客户端的安全性，减少客户端故障，降低管理成本。根据员工编号建立windows帐号，并根据用户职责（部分应用程序需要权限较高）赋予帐号对应的权限。在客户端计算机报废或员工离职后，禁用域中对应的帐号信息。初始密码由管理员提供，员工强制修改初始密码。

5.2.3网络的访问

网络的访问：公司根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行VLAN网络分段。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的