用戶訪問管理制度

1、文檔密級：普通文檔狀態(tài)：草案，正式發(fā)布正在修訂受控狀態(tài)：，受控非受控日期版本描述作者審核審批2015-01-08A0A版首次發(fā)布質(zhì)量小組孫佩連春華用戶訪問管理制度1. 適用12. 目的13. 職責(zé)14. 工作程序14.1. 訪問控制策略14.2. 用戶訪問管理24.3. 用戶口令管理34.4. 用戶賬號管理45. 記錄51 .適用適用于本公司的各種應(yīng)用系統(tǒng)涉及到的邏輯訪問的控制。2 .目的對本公司各種應(yīng)用系統(tǒng)的用戶訪問權(quán)限（包括特權(quán)用戶及第三方用戶）實施有效控制,杜絕非法訪問，確保系統(tǒng)和信息的安全。3 .職責(zé)1）各系統(tǒng)的訪問授權(quán)由管理者代表負責(zé)訪問權(quán)限的審批。2）信息部系統(tǒng)管理員負責(zé)訪問控制的

2、技術(shù)管理以及訪問權(quán)限控制和實施。3）人力資源部負責(zé)向信息部系統(tǒng)管理員通知人事變動情況。4 .工作程序4.1. 訪問控制策略1）公司內(nèi)部可公開的信息不作特別限定，允許所有用戶訪問。2）公司內(nèi)部部分公開信息，經(jīng)管理者代表認可，信息部系統(tǒng)管理員實施后用戶方可訪問。3）用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。4）第三方人員（客戶、供應(yīng)商、合作伙伴等）嚴禁訪問公司網(wǎng)絡(luò)與系統(tǒng)5）信息部系統(tǒng)管理員應(yīng)編制系統(tǒng)用戶訪問權(quán)限說明書，并經(jīng)過管理者代表批準，以明確規(guī)定訪問規(guī)則。6）信息部系統(tǒng)管理員應(yīng)編制網(wǎng)絡(luò)服務(wù)與端口策略配置表，并經(jīng)過管理者代表批準,以明確網(wǎng)絡(luò)服務(wù)訪問。7）所有計算機操作系統(tǒng)、數(shù)據(jù)庫系

3、統(tǒng)與多用戶業(yè)務(wù)系統(tǒng)均應(yīng)按用戶設(shè)置安全登錄控制，嚴禁未驗證用戶賬號與口令就可登錄；8）非本系統(tǒng)管理員或特權(quán)用戶不得使用系統(tǒng)實用程序；9）本公司一律禁止共享以下文件：a）涉及客戶的敏感文檔與軟件；b）項目技術(shù)資料（包括源代碼、方案、測試報告等）；c）涉及知識產(chǎn)權(quán)的文檔或軟件（如盜版軟件）d）其他涉及公司敏感信息或與法律法規(guī)相違背的信息。4.2. 用戶訪問管理1）權(quán)限申請a) 授權(quán)流程申請部門申請一一管理者代表審批一一信息部系統(tǒng)管理員實施所有用戶，包括第三方人員均需要履行訪問授權(quán)手續(xù)。申請部門根據(jù)工作的需要，確定需要訪問的系統(tǒng)和訪問權(quán)限，經(jīng)過本部門主管同意后，向管理者代表提交用戶授權(quán)申請表，經(jīng)管理者

4、代表審核批準后，將用戶授權(quán)申請表信息部系統(tǒng)管理員實施。第三方人員的訪問申請由負責(zé)接待的部門按照上述要求予以辦理。第三方人員訪問公司系統(tǒng)與網(wǎng)絡(luò)前，需與公司簽訂保密協(xié)議。b) 用戶授權(quán)申請表應(yīng)對以下內(nèi)容予以明確：權(quán)限申請人員賬號訪問權(quán)限的級別和范圍申請理由有效期2）權(quán)限變更c) 對發(fā)生以下情況對其訪問權(quán)應(yīng)從系統(tǒng)中予以注銷：內(nèi)部用戶雇傭合同終止時；內(nèi)部用戶因崗位調(diào)整不再需要此項訪問服務(wù)時;第三方訪問合同終止時；其它情況必須注銷時。d) 因用戶變換崗位等原因造成訪問權(quán)限變更時，用戶應(yīng)重新填寫用戶授權(quán)申請表，按照本制度的要求履行授權(quán)手續(xù)。e) 人力資源部應(yīng)將人事變動情況及時通知信息部系統(tǒng)管理員進行權(quán)限設(shè)

5、置更改。f) 特權(quán)用戶因故暫時不能履行特權(quán)職責(zé)時，根據(jù)需要可以經(jīng)管理者代表批準后，將特權(quán)臨時轉(zhuǎn)交可靠人員；特權(quán)用戶返回工作崗位時，收回臨時特權(quán)人員的特權(quán)。3)用戶訪問權(quán)的維護和評審g) 遵循權(quán)限最小原則，即只應(yīng)將能完成某項工作所需的最小權(quán)限授予相關(guān)人士。h) 對于任何賬號以及權(quán)限的改變(包括權(quán)限的創(chuàng)建、變更以及注銷)，信息部系統(tǒng)管理員應(yīng)進行記錄，填寫用戶授權(quán)申請表包括：賬號權(quán)限開放/變更/注銷時間；變化后權(quán)限內(nèi)容；開放權(quán)限的管理員c)信息部管理員每季度應(yīng)對所有系統(tǒng)的賬號以及訪問權(quán)限進行檢查，發(fā)現(xiàn)不恰當?shù)馁~號以及權(quán)限設(shè)置，應(yīng)予以調(diào)整。i) 管理者代表每季度應(yīng)對特權(quán)用戶賬號以及訪問權(quán)限進行檢查，發(fā)

6、現(xiàn)過期的賬號以及權(quán)限設(shè)置，應(yīng)通知信息部系統(tǒng)管理員予以注銷。j) 管理者代表應(yīng)對賬號以及訪問權(quán)限的檢查結(jié)果予以記錄，填寫用戶訪問權(quán)限評審表。4.3. 用戶口令管理1、信息部系統(tǒng)管理員應(yīng)按以下過程對被授權(quán)訪問該系統(tǒng)的用戶口令予以分配：分配給用戶一個安全臨時口令，并通過安全渠道傳遞給用戶，并要求用戶在第一次登錄時更改臨時口令；當用戶忘記口令時，系統(tǒng)管理員在獲得用戶的確認后可以為其重新分配口令。2、 口令的選擇與使用要求所有計算機用戶在使用口令時應(yīng)遵循以下原則：保守口令的機密性，避免保留口令的字面記錄，明文存儲或明文網(wǎng)絡(luò)傳遞。任何時候有跡象表明系統(tǒng)或口令可能受到損害，就要更換口令。臺式PC機和筆記本電

7、腦系統(tǒng)口令最小長度6位，不要采用姓名、電話號碼、生日等別人容易猜測或得到的口令，不要用連續(xù)的數(shù)字或字母群，應(yīng)采用字母、數(shù)字與特殊字符的兩兩組合。服務(wù)器系統(tǒng)口令最小長度8位，強密碼，必須采用字母、數(shù)字與特殊字符的完全組合。一般用戶口令每42天變更一次，特權(quán)用戶口令每月變更一次；對于用戶口令的變更會影響應(yīng)用程序運行的情況，該用戶的口令可以在適當?shù)臅r機予以變更。在第一次登錄時，需要更換臨時口令?？诹顟?yīng)妥善保存，不得多人共享同一口令，不得有兩人及其以上口令設(shè)置一樣。不同系統(tǒng)訪問口令盡量做到不同，超級用戶口令不得與其它任何訪問口令重復(fù)；4.4. 用戶賬號管理1）創(chuàng)建的所有賬號都必須有適于系統(tǒng)或服務(wù)的要求

8、和批準；2）所有賬號都必須使用分配的用戶進行唯一性標識；3）嚴禁兩人及以上共享同一賬號與口令；4）所有賬號的默認口令都必須依照口令策略進行創(chuàng)建；5）所有賬號都必須符合口令策略的口令期限；6）用戶賬號長期不用（超過30天）就會無效；7）所有新用戶賬號自創(chuàng)建之日起30天不登錄也會無效；8）信息部系統(tǒng)管理員：負責(zé)刪除個人賬號；服從單獨的審核評審；當經(jīng)授權(quán)管理者要求時，必須提供他們管理的系統(tǒng)賬號的列表；必須與授權(quán)的管理者合作調(diào)查安全事故。4.5. 特權(quán)用戶管理1）第三方人員不允許成為特權(quán)用戶；2）每個系統(tǒng)的特權(quán)賬號與口令必須由專人負責(zé)，嚴禁外泄；3）每一個使用特權(quán)賬號的個人都必須避免濫用權(quán)力，并且必須在信息部的指導(dǎo)下使用；4）每一個使用特權(quán)賬號的個人必須以最適宜所執(zhí)行的工作的方式行使賬號權(quán)力；5）每一個特權(quán)賬戶必須滿足口令策略的要求；6）特權(quán)訪問賬號的口令在人員離職或發(fā)生變更時必須更改；7）在系統(tǒng)只有一名管理員的情況下，口令必須由管理者代表進行恰當?shù)膫浞荼９?，嚴防外泄，以便在緊急情況下其他人可