版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、附L参天就未索北蛊华腔天凤制技股份有眼舍司总語地址;北京市海淀区学着龍白号科技财用申rvA&lO-U层 邮軍:IM0R5 电话;010-8273Jm 費真;010-B2733999 网址匸來切:人站 tcsun. c<» cr»软怦眼再 I 慕统凤产屈北京华胜天成科技股份有限公司管理体系文件文件名称:访问控制策略文件编号:ISM-ACM-01文件版本:V1.0文件密级:内部公开受控状态:受控编 写:秦佩君审 核:杜欣批 准:王维航2009年03月01日发布2009年03月01日生效本文件中包含的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注
2、明,版权均 属北京华胜天成科技股份有限公司所有。未经许可任何人不得将此文件中的任何部分以任何形式进行复制、 储存和传播。霰件系班尺产品1目的12适用范围13术语表14访问控制方针14.1通用方针14.2网络访问控制24.2.1网络区域划分2422网络区域隔离24.3身份授予与鉴别 24.3.1账户管理24.4外部信息交换控制34.4.1公开信息披露34.4.2外部信息交换35相关过程、模板、指导、检查表 3软件眼畀系筑艮严屈1目的访问控制方针旨在基于华胜天成的业务需求,为信息资产的访问控制制定方针原则。各信息安 全控制措施的选择和实施,以及信息安全管理规定的编写,应依据本方针进行。2适用范围本
3、方针适用于华胜天成信息安全管理体系范围内的各类型访问控制,包括但不限于:信息资产访问控制;权限及密码管理;网络访问控制;物理安全访问控制;应用系统访问控制等。3术语表术语解释明确授权明确授权是指具有授予访问权限的人员,通过邮件、纸质授权书 的方式,正式向需要访问信息的人员授予权限的过程。访问控制访问控制是对主体访问客体的权限或能力的一种限制,分为物理 访问控制和逻辑访问控制。物理访问控制是指对物理实体进行的访问控制(例如纸张、电脑、 网络设备等);逻辑访问控制是指对没有物理实体存在的对象的访 问控制(例如网络、电子文档、应用系统等)。4访问控制方针访问控制应依据以下两个原则进行:最小授权原则当
4、没有明确授予访问权限时,应为禁止访问。 应仅对用户授予他们开展业务活动所必需的访问权限。需要时获取访问权限应仅当使用者必须要访问信息时授予。4.1通用方针信息安全的访问控制,应基于分级的原则。在不同级别之间,应设置访问控制措施; 访问控制角色应进行分离,包括如下角色:访问请求访问授权访问管理访问控制审计;访问控制应包括如下管理过程:访问控制措施的部署;访问控制权限的申请、审批及授予霰件系班尺产品访问控制权限的回顾及审计 访问控制权限的撤销应对公司内部访问以上级别的信息资产设置访问控制措施;工作职责范围内的对本部门 机密以及内部访问级别的信息资产的访问,不需要特别申请访 问权限;工作职责范围外对
5、任何 机密级别的信息资产的访问,需要有 信息资产所有者以及信息访问 者所在部门直接主管 的共同授权;工作职责范围外对任何内部访问级别的信息资产的访问,需要有信息资产所有者的审批; 对绝密级别的信息资产的访问,需要有信息资产所有者以及信息访问者所在事业部的总经 理的共同明确授权;由资产所有者维护访问清单及授权记录,并负责至少三个月按照访问 清单对实际访问权限进行回顾;访问控制的执行状况,应该由信息安全流程经理组织访问控制权限的审计活动;应基于信息安全事件的发生频率和影响,以及信息资产的等级设定审计的频率;对物理环境的访问控制,参照物理环境管理规范执行;对信息资产的访问控制,参照信息资产管理规范4
6、.2网络访问控制网络区域划分与隔离是进行访问控制的基础,目的是确认并管理企业网络内部边界和外部边界, 使各个区域之间相互独立,保证各个区域间的影响最小化。以下为网络访问控制的4.2.1网络区域划分华胜天成所有网络区域应根据其支撑的业务和业务的安全需求进行划分,对于安全需求比较高 的敏感区域应进行识别,明确每个区域与其它区域的边界以及企业内部与外部区域的边界。华胜天 成网络区域包括但不限于:公司普通办公网络区域;财务、人事敏感办公网络区域; 公司分支机构网络区域; 企业软件开发、测试网络环境。4.2.2网络区域隔离应根据业务需求对网络区域之间采用不同的手段进行隔离,对于敏感网络区域的边界必须采用
7、 足够的技术手段进行防护。华胜天成敏感区域边界包括但不限于:敏感办公区域与普通办公区域的网络边界; 企业内部网络与In ternet网络边界; 企业内部网络区域与分支机构之间的网络边界; 软件开发、测试环境与企业生产系统的网络边界。4.3身份授予与鉴别身份授予与鉴别是对访问企业资源的用户赋予身份并在用户访问资源时进行身份鉴别,目的是 保证访问网络系统资源的用户是合法的。关于身份授予与鉴别政策定义如下:4.3.1账户管理应基于不同业务的需求对访问华胜天成资源的用户分别建立用户账户的授予与撤销的管理 措施和执行过程。-3 -授予用户的身份应是唯一的,即一个用户账户唯一地对应一个用户,不允许多人共享
8、一个 账户。对任何用户的登录应进行身份鉴别。身份鉴别的方法应根据用户所处环境的风险确定。 对重要资源的访问保证有足够的口令强度和防攻击能力,用户必须使用符合安全要求的口 令,并妥善保护口令。信息系统的所有者应维护特权账户的清单和对应使用人员,并至少每三个月对特权帐号进 行回顾。4.4外部信息交换控制外部信息交换控制政策是防止在与外部进行信息交换不受控,从而造成华胜天成公司的敏感信 息泄漏或被篡改。由于华胜天成是上市公司,任何公开信息的披露,应遵循严格的审批和授权过程4.4.1公开信息披露未经允许,不得将任何公司“内部”及其上级别的信息披露给公司外部人员; 公开信息仅应通过获得授权的部门对外披露;4.4.2外部信息交换严禁将“绝密”及其上级别的信息传递给第三方;若需将“机密”信息与第三方共享,应获得信息
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年汽车电子产品项目投资申请报告代可行性研究报告
- 系绳物体的浮力问题-2023年中考物理复习讲练(原卷版)
- 知识产权保护承诺书
- 美丽的颐和园导游词(33篇)
- 物流运输车辆租赁合同(35篇)
- 粗砂垫层试验段的施工方案及试验段总结
- 23.1 平均数与加权平均数 同步练习
- 天津市南开区2024-2025学年七年级上学期11月期中道德与法治试题(含答案)
- 2024年建筑电工(建筑特殊工种)考试试题题库
- 黑龙江省大庆市肇源县联盟学校2024-2025学年七年级上学期11月期中生物试题(含答案)
- 行业协会财务管理制度
- 领款单模板(B5的纸).xls
- 特种设备使用的安全现状与存在问题的思考
- 总公司与分公司合并报表编制举例
- 概率论与数理统计(茆诗松)第二版课后第二章习题参考答案_百度
- 锦纶染色过程的问题与解决方法
- 土地租金发放表
- 医院水电安装施工方案
- 计算机网络考试重点整理
- 水泥搅拌桩机械进场安装验收记录表
- 高一物理的必修的一期中考试试卷解析告
评论
0/150
提交评论