ISMS-B-09 用戶訪問控制程序-ISO27001

1、用戶訪問控制程序文件編號：ISMS-B-09版 本：A/0頁 碼：第6頁 共6頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準日期日期日期分發(fā)欄：r 市場中心r 項目中心r 模具中心r 采購部r 品質中心r 貨倉課r 財務部r 總經(jīng)辦r 人力資源中心r 設備課r 計劃部r 生產(chǎn)中心1. 目的為明確公司信息系統(tǒng)的訪問控制準則，確保訪問控制措施有效，特制定本程序。2. 范圍本程序適用操作系統(tǒng)、數(shù)據(jù)庫、各應用系統(tǒng)的邏輯訪問控制，物理訪問按安全區(qū)域控制程序進行控制。3. 職責與權限3.1 信息管理部負責公司信息系統(tǒng)相關訪問權限的分配、審批，以及帳號口令管理。3.2 其他部門各部門根據(jù)實際需要向信

2、息管理部部提交賬號及訪問權限的申請，協(xié)助信息管理部人員對用戶賬號及權限進行定期復查。4. 相關文件a) 計算機管理程序5. 術語定義無 6. 控制程序6.1 訪問控制策略6.1.1 本公司目前的網(wǎng)絡服務主要有互聯(lián)網(wǎng)上網(wǎng)服務，供內(nèi)部員工進行日常辦公。6.1.2 公司辦公電腦均應通過網(wǎng)絡線纜接入公司網(wǎng)絡，無線網(wǎng)絡僅供經(jīng)過公司授權的人員使用。6.1.3 用戶不得訪問或嘗試訪問未經(jīng)授權的網(wǎng)絡、系統(tǒng)、文件和服務。6.1.4 外部來訪人員需要使用公司網(wǎng)絡服務必須經(jīng)過相關負責人同意，才能授權其使用。不得將訪問密碼隨意告知不必要的人員，6.1.5外部來訪人員需要使用公司無線網(wǎng)絡時應經(jīng)過公司授權并登記后，無線網(wǎng)

3、絡管理人員應代為輸入訪問密碼，不得直接告知密碼，確保無線訪問密碼的安全。6.1.6外部人員離開時應及時收回其訪問權限，并根據(jù)情況及時修改原來的訪問密碼。6.1.7用戶不得以任何方式私自安裝路由器、交換機、代理服務器、無線網(wǎng)絡訪問點(包括軟件和硬件)等。6.1.8 用戶不得私自撤除或更換網(wǎng)絡設備。6.1.9公司內(nèi)部網(wǎng)絡及系統(tǒng)的維護一般采用現(xiàn)場維護，如確有需要使用遠程方式維護，應確保有相應的身份驗證（如登錄密碼）等安全保護措施，遠程維護完畢應及時關閉遠程維護端口。6.1.10公司員工在不必要的情況下盡量不要使用文件共享，一定要使用共享文件時，應對共享文件進行加密保護，并及時通知需要獲取共享信息的人

4、員，還應及時撤消文件共享。6.1.11根據(jù)公司實際情況及安全需要，可考慮將自動設備鑒別作為一種證明從特定位置和設備進行連接的手段，如IP地址對應計算機名。6.1.12非網(wǎng)絡系統(tǒng)管理人員不得使用系統(tǒng)實用程序（系統(tǒng)工具），防止對系統(tǒng)造成破壞。6.1.13對于重要的應用（如財務系統(tǒng)）可考慮采取適當?shù)倪B接時間限制和訪問控制，在不經(jīng)常使用時停止應用系統(tǒng)或關閉設備。6.1.14對于信息系統(tǒng)審計工具（如漏洞掃描工具等）的訪問及使用應加以限制及保護，禁止任何可能的濫用或誤用，防止對公司信息系統(tǒng)帶來損害。6.2 用戶訪問管理6.2.1 權限申請6.2.1.1所有用戶，包括第三方人員均需要履行訪問授權手續(xù)。授權流

5、程如下：a) 申請部門申請：申請部門根據(jù)業(yè)務及管理工作的需要，確定需要訪問的系統(tǒng)和訪問權限，經(jīng)過本部門領導同意后，向信息管理部提交“用戶授權申請表”。b)經(jīng)信息管理部領導審核后，將“用戶授權申請表”交訪問授權實施人員（如信息管理部網(wǎng)管人員）實施。c) 訪問授權實施人員實施授權。6.2.1.2“用戶授權申請表”應對以下內(nèi)容予以明確：a) 權限申請人員；b) 訪問權限的級別和范圍；c) 申請理由；d) 有效期。6.2.2權限變更6.2.2.1對發(fā)生以下情況對其訪問權應從系統(tǒng)中予以注銷：a) 內(nèi)部用戶雇傭合同終止時；b) 內(nèi)部用戶因崗位調(diào)整不再需要此項訪問服務時；c) 第三方訪問合同終止時；d) 其

6、它情況必須注銷時。6.2.2.2由于用戶變換崗位等原因造成訪問權限變更時，用戶應重新填寫“用戶授權申請表”，按照本標準6.2.1的要求履行授權手續(xù)。6.2.2.3信息管理部應將人事變動情況及時通知各部門，訪問授權實施人員（如網(wǎng)管人員）應及時收回其帳號和權限。6.2.2.4特權用戶因故暫時不能履行特權職責時，根據(jù)需要可以經(jīng)授權部門領導批準后，將特權臨時轉交可靠人員；特權用戶返回工作崗位時，收回臨時特權人員的特權。6.2.3 用戶訪問權的維護和評審6.2.3.1對于任何權限的改變(包括權限的創(chuàng)建、變更以及注銷)，訪問授權實施人員應進行記錄，填寫“用戶授權申請表”包括：a) 權限開放/變更/注銷時間

7、；b) 變化后權限內(nèi)容；c) 開放權限的管理員。6.2.3.2授權管理部門每半年應對訪問權限進行檢查，發(fā)現(xiàn)不恰當?shù)臋嘞拊O置，應通知訪問授權實施人員予以調(diào)整或注銷。6.2.3.3授權管理部門應對訪問權限的檢查結果予以記錄。6.3 用戶口令管理6.3.1各系統(tǒng)訪問授權實施人員應按以下過程對被授權訪問該系統(tǒng)的用戶口令予以分配：a) 在生成帳號時，系統(tǒng)管理員應該分配給合法用戶一個唯一的安全臨時口令，并通過安全渠道傳遞給用戶，并要求用戶在第一次登錄時更改臨時口令；b) 當用戶忘記口令時，系統(tǒng)管理員在獲得用戶的確認后可以為其重新分配口令。6.3.2 口令策略所有計算機用戶在使用口令時應遵循以下原則：a)

8、所有活動帳號都必須有口令保護。 b) 所有系統(tǒng)初始默認口令必須更改。 c) 口令輸入時不應將口令的明文顯示出來，應該采取掩蓋措施。 d) 口令必須至少要含有6個字符。 e) 口令不能和用戶名或登錄名相同。f) 口令不能是字典中能夠找到的詞。 g) 口令不能采用姓名、電話號碼、生日等容易猜測的口令，不得用連續(xù)的數(shù)字或字母群。h) 口令必須是保密的，不能共享、含在程序中或寫在紙上。i) 口令不能通過明文電子郵件傳輸。 j) 口令不能通過語音或移動電話告知。 k) 口令不能以明文形式保存在任何電子介質中。 l) 口令不能在工作組中共享以保證可以通過用戶名追查到具體責任人。 m) 用戶應該在不同的系統(tǒng)

9、中使用不同的口令。 n) 可以在PGP或強度相當?shù)募用艽胧┑谋Ｗo下將口令存放在電子文件中。 o) 任何時候有跡象表明系統(tǒng)或口令可能受到損害，就要更換口令。p) 一般用戶口令至少一年變更一次，特權用戶口令至少每半年變更一次；對于用戶口令的變更會影響應用程序運行的情況，該用戶的口令可以在適當?shù)臅r機予以變更。6.4 第三方訪問6.4.1第三方訪問是指本公司以外其他組織/人員對本公司的信息系統(tǒng)的邏輯訪問。6.4.2第三方訪問包括網(wǎng)絡訪問、操作系統(tǒng)訪問、數(shù)據(jù)庫訪問、信息系統(tǒng)訪問。6.4.3第三方訪問前各責任部門要對第三方訪問可能導致的風險進行評估，采取適當?shù)目刂拼胧ㄈ纾菏跈?、簽署保密協(xié)議等），維護被第

10、三方訪問的本公司信息處理設施和信息資產(chǎn)的安全。6.4.4 第三方授權的方式包括簽訂協(xié)議和臨時訪問授權兩種方式。6.4.4.1與本公司建立長期業(yè)務合作關系，需要經(jīng)常在公司內(nèi)工作的第三方及長期邏輯訪問本公司信息系統(tǒng)的第三方，應與其簽訂安全條款或保密協(xié)議；規(guī)定其在公司內(nèi)活動的場所范圍，時間和人員資格的要求，以及違反安全規(guī)定協(xié)議須承擔的法律賠償責任等，必要時對其工作人員進行資格審查。6.4.4.2 如果屬于臨時參觀學習或業(yè)務工作需要的第三方訪問采用臨時授權方式。6.4.5第三方訪問的授權6.4.5.1第三方在訪問本公司網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、信息系統(tǒng)時需要書面授權。6.4.5.2授權權限的規(guī)定：a) 訪問敏感信息須經(jīng)對應部門負責人及公司領導批準授權；b) 所有的邏輯訪問均需信息管理部部負責人審核，報公司領導批準授權后方可進行；c) 第三