问控制管理规范.docx

修改状态日期修改原因及内容摘要修改人修改页码备注12022.06.01初版修改记录拟制:审核:批准:1 .目的：加强公司信息安全系统的访问管理，规范用访问控制的管理。2 .适用范围：本公司信息安全系统的访问控制。3 .职责：3. 1.IT负责在信息系统访问管理方面的工作。4. 2.各部门负责人信息系统访问的日常管理，部门负责人负责本部门职责范围内的用户权限申请、变更、回收的审核工作，定期组织对本部门访问管理的自查。5. 3.公司所有人员都必须遵守本规范的要求，按需申请信息系统的访问权限，严格管理分配给本人的用户并定期修改密码，不越权访问未被授权访问的内容。4 .基本原则4.1. 信息系统访问管理遵循如下基本原则：4.1.1. 权限最小:用户只应具有完成工作所需的访问权限；4.1.2. 用户唯一:信息系统中的用户应该具有唯一性；4.1.3. 按需授权:权限审批时应根据用户实际需要审批授权；4.1.4. 职责分离:用户访问的请求、授权、管理应实现职责分离；4.1.5. 默认拒绝:未经明确授权，一律视为禁止。4.2.用户管理4.2.1.用户对信息系统的访问和权限变更需要提出申请，用户所在部门的负责人对申请进行初审，信息系统的主管部门负责人进行复审，信息系统的用户管理员负责处理4.2.2.用户管理员对本系统其他用户的权限进行管理和维护，不得私自增加、修改、撤销其他用户权限和密码。4.2.3.普通用户在授权范围内完成自己的工作,不得擅自将用户名和密码转授他人使用，工作完成后应立即退出系统。4.2.4.信息系统的主管部门应定期向使用部门提供相关用户权限清单，使用部门负责人应根据该清单核实用户权限分配情况并反馈给信息系统的主管部门。4.2.5.用户离岗时，必须办理离岗手续，申请回收或变更已经被授予的权限，用户管理员必须及时对权限进行变更或撤消。4.3.密码管理4.3.1.用户必须设置密码，所有岗位人员只能掌握本人工作所需的密码，不得窥探其他用户的密码。4.3.2.信息系统用户的密码长度应满足相应系统的安全要求，密码长度不得短于6位，密码的设置需科学、严密、合理，须混合使用字母、数字或特殊符号，不得使用缺省密码。4.3.3.密码的存储应得到必要的保护。纸质形式存储的密码应放到保险箱内，其使用应得到授权，并对使用情况进行记录，电子形式存储的密码，不得以明文方式存放，应采取加密等控制措施。4.3.4.生产环境中的信息系统，其默认的密码必须被修改。4.3.5.条用户在得到自己的初始密码后，必须立即更改初始密码；4.3.6.重要岗位人员变动交接时或发现密码泄漏时，必须立即更改密码，密码泄漏事件应立即报告所属部门管理员。4.3.7.由于未及时修改密码等原因导致账户被锁，用户需重新办理用户权限申请手续。4.4.访问控制4.4.1.生产系统的远程访问需要实施严格的控制，特权用户不得通过远程访问登录生产系统。4.4.2.针对第三方必须进行的远程访问，应确保用于连接的物理线路在访问结束后及时断开。4.4.3.操作系统应设置用户的联机时间限制，确保长时间无响应的访问能够自动断开。4.4.4.各部门应该严格控制生产系统中系统工具的使用，对于可能超越系统和应用程序控制措施的系统工具使用。4.4.5.信息系统日志记录必须包含用户名称，访问时间和退出时间等必要信息。4.4.6.无人值守的设备必须采取屏幕保护、会话超时等措施进行保护，防止非授权访4.4.7.用户在离开所操作的信息系统时，应退出登录状态。4.4.8.用户在科技发展部外部使用移动计算设备（如笔记本计算机）时，必须实施适当的保护措施，避免信息泄漏或设备失窃。4.5.使用表单：无