用戶訪問控制管理規(guī)定._第1頁
用戶訪問控制管理規(guī)定._第2頁
用戶訪問控制管理規(guī)定._第3頁
用戶訪問控制管理規(guī)定._第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、用戶訪問控制管理規(guī)定1 目的為了明確用戶訪問控制管理的職責權(quán)限、內(nèi)容和方法要求,特制定本規(guī)定。2 適用范圍本規(guī)定適用于信息安全管理體系涉及的所有人員(含組織管理人員、普通員工、 第三方人員,以下簡稱“全體員工”)3 術(shù)語和定義4 職責4.1IT 部門a)是本規(guī)定的歸口管理部門;b)負責本規(guī)定的修訂、解釋和說明及協(xié)調(diào)實施工作。4.2 信息安全進行本規(guī)定修訂及實施的協(xié)調(diào)工作4.3 相關(guān)部門貫徹執(zhí)行本規(guī)定的相關(guān)規(guī)定。4.4 部門管理者a)各部門管理者作為本部門重要信息資產(chǎn)的負責人承擔對資產(chǎn)的管理責任;b)決定本部門是否要單獨制定訪問控制方案。4.5IT 負責人a)負責制定和修改組織的訪問控制方案,并

2、使它在資產(chǎn)使用的范圍內(nèi)得到切實的執(zhí)行;b)指導(dǎo) IT 責任人的工作,并在必要時進行協(xié)調(diào)。c)有權(quán)指定系統(tǒng)管理員4.6IT 責任人a)具體制定和修改組織的訪問控制方案,提交b)指導(dǎo)部門 IT 責任人實施訪問控制方案;IT方案負責審核;c)對訪問控制方案的進行定期評審,并提出修改意見。d)委托系統(tǒng)管理員依照 IT 部門制定的措施規(guī)定進行具體實施和具體操作等。但即使在這種情況下,訪問控制方案實施狀況的最終責任,仍然由 IT 責任人承擔。4.7 部門 IT 責任人a)如果本部門需單獨制定訪問控制方案,在部門管理者的授權(quán)下制定和修改本部門的訪問控制方案,并使它在資產(chǎn)使用的范圍內(nèi)得到切實的執(zhí)行;b)在 I

3、T 責任人的指導(dǎo)下,實施訪問控制方案。c)針對訪問控制方案向IT 責任人進行問題反饋和提出改善意見。4.8 系統(tǒng)管理員對于來自 IT 責任人委托的措施和相關(guān)操作,擔負著切實履行的責任。5 管理要求5.1 用戶認證組織主要系統(tǒng),包含組織重要信息的計算機、網(wǎng)絡(luò)、系統(tǒng)等信息資產(chǎn)的訪問控制方案,必須滿足用戶標識與口令管理指南的規(guī)定。5.1.1 用戶標識控制相關(guān)信息資產(chǎn)責任人所在部門IT 責任人為了實現(xiàn)個人認證,需要采取以下措施,部門IT 責任人必須管理從用戶注冊、數(shù)據(jù)更新到數(shù)據(jù)刪除的用戶標識和整個周期,并必須保證它們在上述信息資產(chǎn)使用范圍內(nèi)得到切實的落實。具體控制包括:5.1.1.1 用戶注冊分派的流

4、程a)用戶或代理人提交用戶標識的申請b)部門 IT 責任人核實該用戶的身份c)部門管理者審批d)用戶提交到IT 責任人e)IT 責任人委托信息系統(tǒng)管理員實施注冊f)系統(tǒng)管理員向用戶分派用戶標識。5.1.1.2 用戶標識分派的注意事項a)部門 IT 責任人必須針對每個人發(fā)放各自不販用戶標識b)禁止發(fā)放共享的用戶標識或再次發(fā)放曾用過的標識。5.1.2.3 用戶標識的更新和刪除流程a)用戶發(fā)生變動時,由部門IT 責任人,向IT 責任人提出更新或刪除申請b)IT 責任人委托系統(tǒng)管理員更新和刪除所負責系統(tǒng)上的該用戶標識,。注:用戶變動指離職、組織內(nèi)部調(diào)動和第三方人員變動。5.1.2 口令控制管理部門 I

5、T 責任人遵循用戶標識與口令管理指南的規(guī)定,實施或指導(dǎo)對口令的控制管理。具體管理控制措施包括:5.1.2.1 口令發(fā)放口令發(fā)放參照用戶標識進行。5.1.2.2 初始口令和用戶選擇的口令用戶有責任在首次訪問時,對提供給他的初始口令修改為自身選擇的符合要求的口令。5.1.2.3 口令的管理用戶有責任對任何保密口令。用戶還必須定期修改口令。5.2 網(wǎng)絡(luò)的訪問控制5.2.1 訪問控制要求a)IT 責任人應(yīng)制定措施和規(guī)定,控制從外部對網(wǎng)絡(luò)的訪問,包括來自外問相關(guān)方及本組織員工的訪問;b)對網(wǎng)絡(luò)訪問控制的首要規(guī)則是拒絕任何類型的未授權(quán)的外部訪問,可通過在局域網(wǎng)中使用防火墻或其他類似的措施實現(xiàn)。c)在有必要

6、允許外部相關(guān)方訪問或組織員工的遠程訪問的場合,必須采用針對個人的用戶認證系統(tǒng)。5.2.2 訪問控制措施IT 責任人根據(jù)系統(tǒng)的重要程度,必須實施以下的措施和程序;5.2.2.1 對訪問權(quán)的審查:IT 責任人必須宅基或者在組織的組織結(jié)構(gòu)發(fā)生重大變動時及時審查網(wǎng)絡(luò)訪問權(quán)限。5.2.2.2 訪問記錄管理a)必須管理網(wǎng)絡(luò)系統(tǒng)的訪問日志;b)網(wǎng)絡(luò)訪問日志須保存一定時間,用于審查跟蹤。5.2.2.3 訪問的監(jiān)測a)對于重要的監(jiān)測, IT 責任人必須建立用于監(jiān)測的措施和程序;b)發(fā)現(xiàn)非法訪問的場合,必須采取中斷相關(guān)網(wǎng)絡(luò)通訊的必要步驟。5.3 操作系統(tǒng)的訪問控制5.3.1 訪問權(quán)的提供a)IT 責任人或IT 責

7、任(或委托系統(tǒng)管理員)在授予用戶對自己負責的系統(tǒng)的訪問權(quán)的場合,必須對照組織信息安全相關(guān)規(guī)定,檢查用戶是否業(yè)務(wù)需要,資格是否符合,給予用戶最適當?shù)脑L問權(quán);b)對于最適當?shù)脑L問權(quán)必須包含以下內(nèi)容:限制訪問權(quán)的類型,有閱讀、更新、執(zhí)行的權(quán)力等;限定訪問的對象,為單個文件或文件夾。5.3.2 對訪問權(quán)的審查IT 責任人或部門IT 責任人 (或委托系統(tǒng)管理員)必須根據(jù)需要或者在組織的組織結(jié)構(gòu)發(fā)生重大變動時,及時審核用戶的訪問權(quán),并根據(jù)審查結(jié)果更新用戶的訪問權(quán)限。5.3.3 訪問記錄的管理和監(jiān)測對于重要的操作系統(tǒng), IT 責任人或部門重要應(yīng)用系統(tǒng)的系統(tǒng)管理員必須對系統(tǒng)以及存儲在系統(tǒng)中的信息,根據(jù)重要程度

8、,制定嚴格的控制訪問的措施和程序。5.4 應(yīng)用系統(tǒng)的訪問控制5.4.1 控制原則組織重要應(yīng)用系統(tǒng)和各部門重要應(yīng)用系統(tǒng)的系統(tǒng)管理員必須對系統(tǒng)以及存儲在系統(tǒng)中的信息,根據(jù)重要程度,制定嚴格的控制訪問的措施和程序。5.4.2 訪問權(quán)的提供a)系統(tǒng)管理員必須根據(jù)存儲在系統(tǒng)中的信息的重要程度,確定擁有系統(tǒng)訪問權(quán)的用戶b)在分配用戶對系統(tǒng)的訪問權(quán)時,系統(tǒng)管理員必須依據(jù)信息安全規(guī)定,檢查用戶業(yè)務(wù)的必要性,確認用戶的資格,將適當?shù)脑L問權(quán)分配給相應(yīng)資格的用戶。5.4.3 對訪問權(quán)的提供系統(tǒng)管理員必須根據(jù)或者在組織結(jié)構(gòu)發(fā)生重大變動時,及時審查用戶的訪問權(quán),并根據(jù)審查結(jié)果更新用戶訪問權(quán)限。5.4.4 訪問記錄的管理

9、和監(jiān)測對重要的應(yīng)用系統(tǒng),系統(tǒng)管理員必須保存一定時間段的訪問日志,用于審核跟蹤。發(fā)現(xiàn)非法訪問的場合,采取必要對策。5.5 特權(quán)管理5.5.1 任何具有特權(quán)的管理員a)為了適當?shù)毓芾砭W(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng), IT 負責人在與各部門管理者協(xié)商的基礎(chǔ)上,可以任命特權(quán)管理員并授權(quán)他們擁有在需要的時候更改系統(tǒng)配置的特權(quán)。b)在選擇特權(quán)管理員時,IT 負責人必須仔細審查他們的能力和資質(zhì);c)特權(quán)管理員的數(shù)量必須處于最低限度。5.5.2 特權(quán)管理員的用戶標識和口令管理特權(quán)管理員的用戶標識和口令必須進行比一般用戶更加嚴格的管理,詳細的要求參見用戶標識與口令管理指南的規(guī)定。5.6 外部相關(guān)方訪問組織信息資產(chǎn)時,IT 責任人作為該外部相關(guān)方的管理者必須保證對資習采取適當?shù)脑L問控制。5.6.1 對該問權(quán)的審查IT 責任人應(yīng)定期和及時審查和核實外部相關(guān)方的訪問權(quán),并根據(jù)審查的結(jié)果修改對組織信息資產(chǎn)的訪問權(quán)限。 5.6.2 管理和審查a)要求和外部相關(guān)方責任部門的部門IT 責任人,為外部相關(guān)方建立賬號,向授權(quán)訪問組織信息資產(chǎn)的外部相關(guān)方的每個用戶提供有關(guān)賬號管理和對資產(chǎn)實施正

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論