用戶訪問(wèn)控制管理規(guī)定

1、用戶訪問(wèn)控制管理規(guī)定1目的為了明確用戶訪問(wèn)控制管理的職責(zé)權(quán)限、內(nèi)容和方法要求，特制定本規(guī)定。2適用范圍本規(guī)定適用于信息安全管理體系涉及的所有人員（含組織管理人員、普通員工、第三方人員，以下簡(jiǎn)稱全體員工”）3術(shù)語(yǔ)和定義4職責(zé)4.1IT部門a）是本規(guī)定的歸口管理部門；b）負(fù)責(zé)本規(guī)定的修訂、解釋和說(shuō)明及協(xié)調(diào)實(shí)施工作 。4.2 信息安全進(jìn)行本規(guī)定修訂及實(shí)施的協(xié)調(diào)工作4.3 相關(guān)部門貫徹執(zhí)行本規(guī)定的相關(guān)規(guī)定。4.4 部門管理者a）各部門管理者作為本部門重要信息資產(chǎn)的負(fù)責(zé)人承擔(dān)對(duì)資產(chǎn)的管理責(zé)任；b）決定本部門是否要單獨(dú)制定訪問(wèn)控制方案。4.51 T負(fù)責(zé)人a）負(fù)責(zé)制定和修改組織的訪問(wèn)控制方案，并使它在資產(chǎn)使

2、用的范圍內(nèi)得到切實(shí)的執(zhí)行；b）指導(dǎo)IT責(zé)任人的工作，并在必要時(shí)進(jìn)行協(xié)調(diào)。c）有權(quán)指定系統(tǒng)管理員4.61 T責(zé)任人a）具體制定和修改組織的訪問(wèn)控制方案，提交IT方案負(fù)責(zé)審核；b）指導(dǎo)部門IT責(zé)任人實(shí)施訪問(wèn)控制方案；c）對(duì)訪問(wèn)控制方案的進(jìn)行定期評(píng)審，并提出修改意見。d）委托系統(tǒng)管理員依照IT部門制定的措施規(guī)定進(jìn)行具體實(shí)施和具體操作等。但即使在這種情況下，訪問(wèn)控制方案實(shí)施狀況的最終責(zé)任，仍然由IT責(zé)任人承擔(dān)。4.7 部門IT責(zé)任人a）如果本部門需單獨(dú)制定訪問(wèn)控制方案，在部門管理者的授權(quán)下制定和修改本部門的訪問(wèn)控制方案，并使它在資產(chǎn)使用的范圍內(nèi)得到切實(shí)的執(zhí)行；b）在IT責(zé)任人的指導(dǎo)下，實(shí)施訪問(wèn)控制方案

3、。c）針對(duì)訪問(wèn)控制方案向IT責(zé)任人進(jìn)行問(wèn)題反饋和提出改善意見。4.8 系統(tǒng)管理員對(duì)于來(lái)自IT責(zé)任人委托的措施和相關(guān)操作，擔(dān)負(fù)著切實(shí)履行的責(zé)任。5管理要求5.1 用戶認(rèn)證組織主要系統(tǒng)，包含組織重要信息的計(jì)算機(jī)、網(wǎng)絡(luò)、系統(tǒng)等信息資產(chǎn)的訪問(wèn)控制方案 ，必須滿足用戶標(biāo)識(shí)與口令管理指南的規(guī)定。5.1.1 用戶標(biāo)識(shí)控制相關(guān)信息資產(chǎn)責(zé)任人所在部門IT責(zé)任人為了實(shí)現(xiàn)個(gè)人認(rèn)證，需要采取以下措施，部門IT責(zé)任人必須管理從用戶注冊(cè)、數(shù)據(jù)更新到數(shù)據(jù)刪除的用戶標(biāo)識(shí)和整個(gè)周期，并必須保證它們?cè)谏鲜鲂畔①Y產(chǎn)使用范圍內(nèi)得到切實(shí)的落實(shí)。具體控制包括：5.1.1.1 用戶注冊(cè)分派的流程a）用戶或代理人提交用戶標(biāo)識(shí)的申請(qǐng)b）部門I

4、T責(zé)任人核實(shí)該用戶的身份 c）部門管理者審批d）用戶提交到IT責(zé)任人e）IT責(zé)任人委托信息系統(tǒng)管理員實(shí)施注冊(cè)f）系統(tǒng)管理員向用戶分派用戶標(biāo)識(shí)。5.1.1.2 用戶標(biāo)識(shí)分派的注意事項(xiàng)a）部門IT責(zé)任人必須針對(duì)每個(gè)人發(fā)放各自不販用戶標(biāo)識(shí)b）禁止發(fā)放共享的用戶標(biāo)識(shí)或再次發(fā)放曾用過(guò)的標(biāo)識(shí)。5.1.2.3用戶標(biāo)識(shí)的更新和刪除流程a）用戶發(fā)生變動(dòng)時(shí)，由部門IT責(zé)任人，向IT責(zé)任人提出更新或刪除申請(qǐng)b）IT責(zé)任人委托系統(tǒng)管理員更新和刪除所負(fù)責(zé)系統(tǒng)上的該用戶標(biāo)識(shí)，。注：用戶變動(dòng)指離職、組織內(nèi)部調(diào)動(dòng)和第三方人員變動(dòng)。5.1.2 口令控制管理部門IT責(zé)任人遵循用戶標(biāo)識(shí)與口令管理指南的規(guī)定，實(shí)施或指導(dǎo)對(duì)口令的控制管

5、理。具體管理控制措施包括：5.1.2.1 口令發(fā)放口令發(fā)放參照用戶標(biāo)識(shí)進(jìn)行。5.1.2.2 初始口令和用戶選擇的口令用戶有責(zé)任在首次訪問(wèn)時(shí)，對(duì)提供給他的初始口令修改為自身選擇的符合要求的口令。5.1.2.3 口令的管理用戶有責(zé)任對(duì)任何保密口令。用戶還必須定期修改口令。5.2 網(wǎng)絡(luò)的訪問(wèn)控制5.2.1 訪問(wèn)控制要求a）IT責(zé)任人應(yīng)制定措施和規(guī)定，控制從外部對(duì)網(wǎng)絡(luò)的訪問(wèn)，包括來(lái)自外問(wèn)相關(guān)方及本組織員工的訪問(wèn)；b）對(duì)網(wǎng)絡(luò)訪問(wèn)控制的首要規(guī)則是拒絕任何類型的未授權(quán)的外部訪問(wèn)，可通過(guò)在局域網(wǎng)中使用防火墻或其他類似的措施 實(shí)現(xiàn)。,必須采用針對(duì)個(gè)人的用戶認(rèn)證系統(tǒng)c）在有必要允許外部相關(guān)方訪問(wèn)或組織員工的遠(yuǎn)程訪

6、問(wèn)的場(chǎng)合5.2.2 訪問(wèn)控制措施IT責(zé)任人根據(jù)系統(tǒng)的重要程度，必須實(shí)施以下的措施和程序 ；：5.2.2.1 對(duì)訪問(wèn)權(quán)的審查IT責(zé)任人必須宅基或者在組織的組織結(jié)構(gòu)發(fā)生重大變動(dòng)時(shí)及時(shí)審查網(wǎng)絡(luò)訪問(wèn)權(quán)限。5.2.2.2 訪問(wèn)記錄管理a）必須管理網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)日志；b）網(wǎng)絡(luò)訪問(wèn)日志須保存一定時(shí)間，用于審查跟蹤。5.2.2.3 訪問(wèn)的監(jiān)測(cè)a）對(duì)于重要的監(jiān)測(cè)，IT責(zé)任人必須建立用于監(jiān)測(cè)的措施和程序；b）發(fā)現(xiàn)非法訪問(wèn)的場(chǎng)合，必須采取中斷相關(guān)網(wǎng)絡(luò)通訊的必要步驟。5.3 操作系統(tǒng)的訪問(wèn)控制5.3.1 訪問(wèn)權(quán)的提供a）IT責(zé)任人或IT責(zé)任（或委托系統(tǒng)管理員）在授予用戶對(duì)自己負(fù)責(zé)的系統(tǒng)的訪問(wèn)權(quán)的場(chǎng)合，必須對(duì)照組織信息

7、安全相關(guān)規(guī)定，檢查用戶是否業(yè)務(wù)需要，資格是否符合，給予用戶最適當(dāng)?shù)脑L問(wèn)權(quán)；b）對(duì)于最適當(dāng)?shù)脑L問(wèn)權(quán)必須包含以下內(nèi)容：限制訪問(wèn)權(quán)的類型，有閱讀、更新、執(zhí)行的權(quán)力等；限定訪問(wèn)的對(duì)象，為單個(gè)文件或文件夾。5.3.2 對(duì)訪問(wèn)權(quán)的審查IT責(zé)任人或部門IT責(zé)任人（或委托系統(tǒng)管理員）必須根據(jù)需要或者在組織的組織結(jié)構(gòu)發(fā)生重大變動(dòng)時(shí)，及時(shí)審核用戶的訪問(wèn)權(quán)，并根據(jù)審查結(jié)果更新用戶的訪問(wèn)權(quán)限。5.3.3 訪問(wèn)記錄的管理和監(jiān)測(cè)對(duì)于重要的操作系統(tǒng)，IT責(zé)任人或部門重要應(yīng)用系統(tǒng)的系統(tǒng)管理員必須對(duì)系統(tǒng)以及存儲(chǔ)在系統(tǒng)中的信息，根據(jù)重要程度，制定嚴(yán)格的控制訪問(wèn)的措施和程序。5.4 應(yīng)用系統(tǒng)的訪問(wèn)控制5.4.1 控制原則組織重要應(yīng)

8、用系統(tǒng)和各部門重要應(yīng)用系統(tǒng)的系統(tǒng)管理員必須對(duì)系統(tǒng)以及存儲(chǔ)在系統(tǒng)中的信息，根據(jù)重要程度，制定嚴(yán)格的控制訪問(wèn)的措施和程序。5.4.2 訪問(wèn)權(quán)的提供a）系統(tǒng)管理員必須根據(jù)存儲(chǔ)在系統(tǒng)中的信息的重要程度，確定擁有系統(tǒng)訪問(wèn)權(quán)的用戶b）在分配用戶對(duì)系統(tǒng)的訪問(wèn)權(quán)時(shí)，系統(tǒng)管理員必須依據(jù)信息安全規(guī)定，檢查用戶業(yè)務(wù)的必要性，確認(rèn)用戶的資格，將適當(dāng)?shù)脑L問(wèn)權(quán)分配給相應(yīng)資格的用戶。5.4.3 對(duì)訪問(wèn)權(quán)的提供系統(tǒng)管理員必須根據(jù)或者在組織結(jié)構(gòu)發(fā)生重大變動(dòng)時(shí)，及時(shí)審查用戶的訪問(wèn)權(quán)，并根據(jù)審查結(jié)果更新用戶訪問(wèn)權(quán)限。5.4.4 訪問(wèn)記錄的管理和監(jiān)測(cè)對(duì)重要的應(yīng)用系統(tǒng)，系統(tǒng)管理員必須保存一定時(shí)間段的訪問(wèn)日志，用于審核跟蹤。發(fā)現(xiàn)非法訪問(wèn)

9、的場(chǎng)合，采取必要對(duì)策。5.5 特權(quán)管理5.5.1 任何具有特權(quán)的管理員a）為了適當(dāng)?shù)毓芾砭W(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)，IT負(fù)責(zé)人在與各部門管理者協(xié)商的基礎(chǔ)上，可以任命特權(quán)管理員并授權(quán)他們擁有在需要的時(shí)候更改系統(tǒng)配置的特權(quán)。b）在選擇特權(quán)管理員時(shí)，IT負(fù)責(zé)人必須仔細(xì)審查他們的能力和資質(zhì)；c）特權(quán)管理員的數(shù)量必須處于最低限度。5.5.2 特權(quán)管理員的用戶標(biāo)識(shí)和口令管理特權(quán)管理員的用戶標(biāo)識(shí)和口令必須進(jìn)行比一般用戶更加嚴(yán)格的管理，詳細(xì)的要求參見用戶標(biāo)識(shí)與口令管理指南的規(guī)定。5.6 外部相關(guān)方訪問(wèn)組織信息資產(chǎn)時(shí)，IT責(zé)任人作為該外部相關(guān)方的管理者必須保證對(duì)資習(xí)采取適當(dāng)?shù)脑L問(wèn)控制。5.6.1 對(duì)該問(wèn)權(quán)的審查IT責(zé)任人應(yīng)定期和及時(shí)審查和核實(shí)外部相關(guān)方的訪問(wèn)權(quán)，并根據(jù)審查的結(jié)果修改對(duì)組織信息資產(chǎn)的訪問(wèn)權(quán)限。5.6.2 管理和審查a）要求和外部相關(guān)方責(zé)任部門的部門IT責(zé)任人，為外部相關(guān)方建立賬號(hào)，向授權(quán)訪問(wèn)組織信息資產(chǎn)的外部相關(guān)方的每個(gè)用戶提供有關(guān)賬號(hào)管理和對(duì)資產(chǎn)實(shí)施