站内搜索:
    • 公司:
    • 重庆智汇源企业管理顾问有限公司
    • 联系:
    • 罗老师
    • 邮箱:
    • 619270360@qq.com
    • 手机:
    • 13983086348
    • 电话:
    • 023-67788950
    • 传真:
    • 023-67775463
    • 地址:
    • 重庆市江北区北滨二路紫御江山熙岸7-8-4
    • 微信:
本站共被浏览过 467291 次
用户名:
密    码:

分享:
产品信息
您所在的位置:首页 > 详细信息

重庆ISO27001认证,10.用户访问控制程序

2019-09-23 10:14:01 129次浏览

价 格:面议

10.用户访问控制程序编号:ISMSP-10-1 修改状态:A/0

1.目的

对公司各种应用系统的用户访问权限(包括特权用户及第三方用户)实施有效控制,杜绝非法访问,确保系统和信息的安全。

2. 范围

适用于公司的各种应用系统涉及到的逻辑访问的控制。

3. 程序文件

3.1访问控制策略

3.1.1公司内部可公开的信息不作特别限制,允许所有用户访问;

3.1.2公司内部部分公开信息,经相应的管理责任人认可批准,软件开发部开设访问账号和设置访问权限后,用户方可访问;

3.1.3用户不得访问或尝试访问未经授权的网络、系统、服务和文件;

3.1.4由软件开发部根据员工职务级别开设访问账号和设置访问权限;

3.1.5用户访问权限变更时,及时向软件开发部提出变更,由软件开发部负责变更访问权限。

3.1.6没有特殊要求禁止从外部远程访问公司未公开的资源。

3.2 用户访问管理

3.2.1 权限申请

3.2.1.1申请人申请——所在部门经理或项目经理确定访问规则——软件开发部开访问账号和设置访问权限;

3.2.1.2所有用户,包括第三方人员均需要履行访问授权手续;

3.2.1.3相关部门经理或项目经理根据工作或项目需要,确定其部门或其项目用户需要访问的系统和访问权限,由软件开发部部开设访问账号和设置访问权限;

3.2.1.4应对一下内容予以明确:权限申请人员、权限申请理由、访问权限的范围和级别、访问权限有效期。

3.2.2权限变更

3.2.2.1对发生以下情况的用户,对其访问账号和权限应从系统中予以注销:

内部用户劳动合同终止时;内部用户因为岗位调整,不再需要此项访问服务时;第三方访问合同终止时;其他情况下必须予以注销访问权限的情形;

3.2.2.2由于用户变换岗位等原因需要变更访问权限时,综合管理部应及时将用户人事变动情况及时通知各部门,软件开发部根据用户所在部门或项目要求对其访问权限进行变更;

3.2.2.3特权用户因故暂时不能履行特权职责时,根据工作需要可以经其直接领导批准,将特权临时转交指定人员;特权用户返回工作岗位时,收回临时特权人员的特权。

3.2.3用户访问权限

3.2.3.1对于任何权限的改变(包括权限的创建、变更以及注销),各部门应进行记录,包括:权限开放/变更/注销时间、变更后权限范围;

3.2.3.2各个部门经理或项目经理与软件开发部一起按时对其部门或其项目用户访问权限进行检查,发现不恰当的权限设置,应及时予以调整;

3.2.3.3各个部门经理或项目经理与软件开发部一起按时对特权用户访问权限进行检查,发现过期的权限设置,应及时予以注销;

3.2.3.4各个部门应对访问权限的检查结果予以记录。

3.3用户口令管理

3.3.1各部门应按照以下过程对被授权访问该系统的用户口令予以分配:

分配给用户一个安全口令,并通过安全渠道传递给用户,且对用户口令进行严格管理;

3.3.2口令的选择和使用要求

所有计算机用户在使用口令时应遵循以下原则:

1. 保守口令的机密性,避免保留口令的字面记录、明文存储或明文网络传递。

2. 任何时候有迹象表明系统口令可能收到损害,要及时更换口令。

3. 特权用户口令最小长度6位, 不要采用姓名、电话号码、生日等别人容易猜测或得到的口令,不要用连续的数字或字母群。

4. 一般用户要有口令改变的意识,特权用户口令每月变更一次或根据实际情况随时变更(如重要系统人员离职等情况);对于用户口令的变更会影响应用程序运行的情况,该用户的口令可以在适当的时机予以变更。

5. 在初次登录系统时更换初始口令。

6. 在任何自动登录过程中,不要包含口令。

7. 口令应妥善保存,不要共享个人用户口令。

8. 用户有唯一的识别符(USER ID),以便用户单独使用时,能查处活动的个人责任。

9. 用户ID由系统管理员根据授权的规定予以设置。

3.4用户访问审核

3.4.1应定期评审用户的访问权限,如6个月的周期,并在任何变化后,如升职、降职或中止后进行审核;

3.4.2当员工在同一组织不同部门间转换时,需要对用户访问权进行审核和重新分配;

3.4.3对特殊的特权访问权限应当以更高的频率进行评审,如3个月的周期;

3.4.3定期核查特权分配,以确保无人得到未经授权的特权;

3.4.5特权账号的更改应该被记录并定期审核

3.5 相关表单

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆CCRC认证★重庆GJB5000A认证★

重庆智汇源企业管理顾问有限公司版权所有ID:10071323) 技术支持:武汉百业网科技有限公司   百业网客服:杨宇

8

回到顶部