28用戶訪問管理程序

目錄TOC\o"1-5"\h\z\o"CurrentDocument"目錄1\o"CurrentDocument"1目的22范圍2\o"CurrentDocument"3職責(zé)2\o"CurrentDocument"4相關(guān)文件25程序3\o"CurrentDocument"6記錄5《系統(tǒng)訪問權(quán)限說明書》5《用戶訪問授權(quán)申請表》5《用戶訪問授權(quán)登記表》5《用戶訪問權(quán)限評審記錄》51目的為對本組織各種應(yīng)用系統(tǒng)的用戶訪問權(quán)限（包括特權(quán)用戶及相關(guān)方用戶）實施有效控制，杜絕非法訪問，確保系統(tǒng)和信息的安全，特制定本程序。本程序適用于本組織的各種應(yīng)用系統(tǒng)涉及到的邏輯訪問的管理。3職責(zé)各部門職責(zé)負(fù)責(zé)訪問權(quán)限的申請、審批、執(zhí)行。有信息系統(tǒng)的部門負(fù)責(zé)各部門的信息系統(tǒng)權(quán)限控制。由綜合部通知人事變更情況，按照人事變更情況變更相應(yīng)權(quán)限。綜合部：負(fù)責(zé)財務(wù)系統(tǒng)及設(shè)備維護系統(tǒng)的用戶權(quán)限控制。綜合部：負(fù)責(zé)SVN系統(tǒng)及設(shè)備維護的用戶權(quán)限控制。市場部：負(fù)責(zé)漏洞掃描系統(tǒng)及設(shè)備維護的用戶權(quán)限控制。綜合部職責(zé)負(fù)責(zé)向各部門通知人事變動情況。負(fù)責(zé)外來人員物理訪問控制。負(fù)責(zé)郵件系統(tǒng)的用戶權(quán)限訪問控制。負(fù)責(zé)公司網(wǎng)站內(nèi)部管理用戶權(quán)限訪問控制負(fù)責(zé)電話、網(wǎng)絡(luò)權(quán)限控制4相關(guān)文件《信息安全管理手冊》《口令策略》5程序訪問控制策略組織內(nèi)的信息根據(jù)秘密等級，分別向不同職位的員工公開。a）組織的宣傳文件、制度、培訓(xùn)材料、參考文獻可向全體員工公開;b）人事信息只對綜合部公開；c）財務(wù)信息只對綜合部財務(wù)人員公開；d）業(yè)務(wù)信息只對相關(guān)業(yè)務(wù)人員公開。各部門系統(tǒng)管理人員根據(jù)不同類別的信息，設(shè)置其訪問權(quán)限。用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。各部門應(yīng)編制《系統(tǒng)訪問權(quán)限說明書》，明確規(guī)定訪問規(guī)則。用戶訪問管理權(quán)限申請所有用戶，包括相關(guān)方人員均需要履行訪問授權(quán)手續(xù)。申請部門根據(jù)業(yè)務(wù)、管理工作的需要，確定需要訪問的系統(tǒng)和訪問權(quán)限，經(jīng)過本部門經(jīng)理同意后，向相關(guān)部門系統(tǒng)管理人員提交《用戶訪問授權(quán)申請表》，負(fù)責(zé)部門相關(guān)人員在《用戶訪問授權(quán)登記表》上登記?！队脩粼L問授權(quán)申請表》應(yīng)對以下內(nèi)容予以明確：a）權(quán)限申請人員；b）訪問權(quán)限的級別和范圍；c）申請理由；d）有效期。如果是公司有新入職人員，按照綜合部提交的《入職申請表》，相關(guān)部門需要按照系統(tǒng)訪問權(quán)限說明書，給予相應(yīng)的用戶權(quán)限。如果不是新入職或離職員工，在系統(tǒng)使用過程中需要變更信息系統(tǒng)用戶權(quán)限的用戶，需要提交《用戶訪問授權(quán)申請表》給部門經(jīng)理簽字、然后提交到相應(yīng)信息系統(tǒng)管理部門的系統(tǒng)管理員，由系統(tǒng)管理員給予相應(yīng)用戶權(quán)限，相關(guān)方和第三方服務(wù)人員的訪問申請由負(fù)責(zé)接待的部門按照上述要求予以辦理。但相關(guān)方和第三方服務(wù)人員一般不允許成為特權(quán)用戶。必要時，相關(guān)方人員需與訪問接待部門簽訂《相關(guān)方保密協(xié)議》或《第三方服務(wù)保密協(xié)議》。對于需要申請配置管理系統(tǒng)軟件權(quán)限的人員，按以下規(guī)定執(zhí)行：1、項目內(nèi)由于人員變動或非本項目成員，需申請權(quán)限的，需要填寫《配置庫權(quán)限申請表》，項目經(jīng)理審批后，由配置管理人員分配相關(guān)權(quán)限，并在《用戶訪問授權(quán)登記表》上登記。2、客服任務(wù)需授予相關(guān)配置項權(quán)限的，由配置管理人員直接按照部門任務(wù)的內(nèi)容分派權(quán)限3、跨部門申請配置庫權(quán)限，需填寫《配置庫權(quán)限申請表》，相關(guān)部門經(jīng)理或高管審批，由配置人員分配權(quán)限，并在《用戶訪問授權(quán)登記表》上登記。權(quán)限變更對發(fā)生以下情況對其訪問權(quán)應(yīng)從系統(tǒng)中予以注銷：a）內(nèi)部用戶雇傭合同終止時；b）內(nèi)部用戶因崗位調(diào)整不再需要此項訪問服務(wù)時；c）相關(guān)方訪問合同終止時；d）其它情況必須注銷時。如果是公司有離職人員，按照綜合部提交的《離職交接單》，相關(guān)部門需要按照系統(tǒng)訪問權(quán)限說明書，取消相應(yīng)的用戶權(quán)限。由于用戶變換崗位等原因造成訪問權(quán)限變更時，用戶應(yīng)重新填寫《用戶訪問授權(quán)申請表》，按照本程序521的要求履行授權(quán)手續(xù)。綜合部應(yīng)將人事變動情況及時通知各部門。如涉及到SVN權(quán)限變更時，需填寫《配置庫權(quán)限申請表》，相關(guān)部門經(jīng)理或高管審批，由配置人員分配權(quán)限，并在《用戶訪問授權(quán)登記表》上登記。特權(quán)用戶因故暫時不能履行特權(quán)職責(zé)時，根據(jù)需要可以經(jīng)授權(quán)部門經(jīng)理批準(zhǔn)后，將特權(quán)臨時轉(zhuǎn)交可靠人員；特權(quán)用戶返回工作崗位時，收回臨時特權(quán)人員的特權(quán)。用戶訪問權(quán)的維護和評審對于任何權(quán)限的改變（包括權(quán)限的創(chuàng)建、變更以及注銷），各管理部門應(yīng)進行記錄，填寫《用戶訪問授權(quán)申請表》包括：a）權(quán)限開放/變更/注銷時間；b）變化后權(quán)限內(nèi)容；c）開放權(quán)限的管理員。信息安全小組每半年應(yīng)對訪問權(quán)限進行檢查，發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，應(yīng)通知相應(yīng)部門予以調(diào)整。信息安全小組每半年應(yīng)對特權(quán)用戶訪問權(quán)限進行檢查，發(fā)現(xiàn)過期的權(quán)限設(shè)置，應(yīng)通知相應(yīng)部門予以注銷。信息安全小組應(yīng)對訪問權(quán)限的檢查結(jié)果應(yīng)記錄在《訪問權(quán)限評審記錄》上。用戶口令管理各部門管理員應(yīng)按以下過程對被授權(quán)訪問該系統(tǒng)的用戶口令予以分配：a）分配給用戶一個安全口令，并通過安全渠道傳遞給用戶；b）當(dāng)用戶忘記口令時，系統(tǒng)管理員在獲得用戶的確認(rèn)后可以為其重新分配口令。所有用戶在選擇與使用口令時應(yīng)嚴(yán)格遵組織的《口令策略》。外來人員物理訪問外來人員的物理訪問綜合部控制，當(dāng)有來訪者要進入本