ISMS-B-09 用户访问控制程序-ISO27001

1、用户访问控制程序文件编号：ISMS-B-09版 本：A/0页 码：第6页 共6页版本更改履历制订/修订审批生效日期A/0编制审核批准日期日期日期分发栏：r 市场中心r 项目中心r 模具中心r 采购部r 品质中心r 货仓课r 财务部r 总经办r 人力资源中心r 设备课r 计划部r 生产中心1. 目的为明确公司信息系统的访问控制准则，确保访问控制措施有效，特制定本程序。2. 范围本程序适用操作系统、数据库、各应用系统的逻辑访问控制，物理访问按安全区域控制程序进行控制。3. 职责与权限3.1 信息管理部负责公司信息系统相关访问权限的分配、审批，以及帐号口令管理。3.2 其他部门各部门根据实际需要向信

2、息管理部部提交账号及访问权限的申请，协助信息管理部人员对用户账号及权限进行定期复查。4. 相关文件a) 计算机管理程序5. 术语定义无 6. 控制程序6.1 访问控制策略6.1.1 本公司目前的网络服务主要有互联网上网服务，供内部员工进行日常办公。6.1.2 公司办公电脑均应通过网络线缆接入公司网络，无线网络仅供经过公司授权的人员使用。6.1.3 用户不得访问或尝试访问未经授权的网络、系统、文件和服务。6.1.4 外部来访人员需要使用公司网络服务必须经过相关负责人同意，才能授权其使用。不得将访问密码随意告知不必要的人员，6.1.5外部来访人员需要使用公司无线网络时应经过公司授权并登记后，无线网

3、络管理人员应代为输入访问密码，不得直接告知密码，确保无线访问密码的安全。6.1.6外部人员离开时应及时收回其访问权限，并根据情况及时修改原来的访问密码。6.1.7用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件)等。6.1.8 用户不得私自撤除或更换网络设备。6.1.9公司内部网络及系统的维护一般采用现场维护，如确有需要使用远程方式维护，应确保有相应的身份验证（如登录密码）等安全保护措施，远程维护完毕应及时关闭远程维护端口。6.1.10公司员工在不必要的情况下尽量不要使用文件共享，一定要使用共享文件时，应对共享文件进行加密保护，并及时通知需要获取共享信息的人

4、员，还应及时撤消文件共享。6.1.11根据公司实际情况及安全需要，可考虑将自动设备鉴别作为一种证明从特定位置和设备进行连接的手段，如IP地址对应计算机名。6.1.12非网络系统管理人员不得使用系统实用程序（系统工具），防止对系统造成破坏。6.1.13对于重要的应用（如财务系统）可考虑采取适当的连接时间限制和访问控制，在不经常使用时停止应用系统或关闭设备。6.1.14对于信息系统审计工具（如漏洞扫描工具等）的访问及使用应加以限制及保护，禁止任何可能的滥用或误用，防止对公司信息系统带来损害。6.2 用户访问管理6.2.1 权限申请6.2.1.1所有用户，包括第三方人员均需要履行访问授权手续。授权流

5、程如下：a) 申请部门申请：申请部门根据业务及管理工作的需要，确定需要访问的系统和访问权限，经过本部门领导同意后，向信息管理部提交“用户授权申请表”。b)经信息管理部领导审核后，将“用户授权申请表”交访问授权实施人员（如信息管理部网管人员）实施。c) 访问授权实施人员实施授权。6.2.1.2“用户授权申请表”应对以下内容予以明确：a) 权限申请人员；b) 访问权限的级别和范围；c) 申请理由；d) 有效期。6.2.2权限变更6.2.2.1对发生以下情况对其访问权应从系统中予以注销：a) 内部用户雇佣合同终止时；b) 内部用户因岗位调整不再需要此项访问服务时；c) 第三方访问合同终止时；d) 其

6、它情况必须注销时。6.2.2.2由于用户变换岗位等原因造成访问权限变更时，用户应重新填写“用户授权申请表”，按照本标准6.2.1的要求履行授权手续。6.2.2.3信息管理部应将人事变动情况及时通知各部门，访问授权实施人员（如网管人员）应及时收回其帐号和权限。6.2.2.4特权用户因故暂时不能履行特权职责时，根据需要可以经授权部门领导批准后，将特权临时转交可靠人员；特权用户返回工作岗位时，收回临时特权人员的特权。6.2.3 用户访问权的维护和评审6.2.3.1对于任何权限的改变(包括权限的创建、变更以及注销)，访问授权实施人员应进行记录，填写“用户授权申请表”包括：a) 权限开放/变更/注销时间

7、；b) 变化后权限内容；c) 开放权限的管理员。6.2.3.2授权管理部门每半年应对访问权限进行检查，发现不恰当的权限设置，应通知访问授权实施人员予以调整或注销。6.2.3.3授权管理部门应对访问权限的检查结果予以记录。6.3 用户口令管理6.3.1各系统访问授权实施人员应按以下过程对被授权访问该系统的用户口令予以分配：a) 在生成帐号时，系统管理员应该分配给合法用户一个唯一的安全临时口令，并通过安全渠道传递给用户，并要求用户在第一次登录时更改临时口令；b) 当用户忘记口令时，系统管理员在获得用户的确认后可以为其重新分配口令。6.3.2 口令策略所有计算机用户在使用口令时应遵循以下原则：a)

8、所有活动帐号都必须有口令保护。 b) 所有系统初始默认口令必须更改。 c) 口令输入时不应将口令的明文显示出来，应该采取掩盖措施。 d) 口令必须至少要含有6个字符。 e) 口令不能和用户名或登录名相同。f) 口令不能是字典中能够找到的词。 g) 口令不能采用姓名、电话号码、生日等容易猜测的口令，不得用连续的数字或字母群。h) 口令必须是保密的，不能共享、含在程序中或写在纸上。i) 口令不能通过明文电子邮件传输。 j) 口令不能通过语音或移动电话告知。 k) 口令不能以明文形式保存在任何电子介质中。 l) 口令不能在工作组中共享以保证可以通过用户名追查到具体责任人。 m) 用户应该在不同的系统

9、中使用不同的口令。 n) 可以在PGP或强度相当的加密措施的保护下将口令存放在电子文件中。 o) 任何时候有迹象表明系统或口令可能受到损害，就要更换口令。p) 一般用户口令至少一年变更一次，特权用户口令至少每半年变更一次；对于用户口令的变更会影响应用程序运行的情况，该用户的口令可以在适当的时机予以变更。6.4 第三方访问6.4.1第三方访问是指本公司以外其他组织/人员对本公司的信息系统的逻辑访问。6.4.2第三方访问包括网络访问、操作系统访问、数据库访问、信息系统访问。6.4.3第三方访问前各责任部门要对第三方访问可能导致的风险进行评估，采取适当的控制措施（如：授权、签署保密协议等），维护被第

10、三方访问的本公司信息处理设施和信息资产的安全。6.4.4 第三方授权的方式包括签订协议和临时访问授权两种方式。6.4.4.1与本公司建立长期业务合作关系，需要经常在公司内工作的第三方及长期逻辑访问本公司信息系统的第三方，应与其签订安全条款或保密协议；规定其在公司内活动的场所范围，时间和人员资格的要求，以及违反安全规定协议须承担的法律赔偿责任等，必要时对其工作人员进行资格审查。6.4.4.2 如果属于临时参观学习或业务工作需要的第三方访问采用临时授权方式。6.4.5第三方访问的授权6.4.5.1第三方在访问本公司网络、操作系统、数据库、信息系统时需要书面授权。6.4.5.2授权权限的规定：a) 访问敏感信息须经对应部门负责人及公司领导批准授权；b) 所有的逻辑访问均需信息管理部部负责人审核，报公司领导批准授权后方可进行；c) 第三