用戶訪問管理程序

用戶訪問管理程序1目的為加強(qiáng)對信息系統(tǒng)授權(quán)訪問的控制，防止對信息系統(tǒng)的未經(jīng)授權(quán)的訪問，特制定本程序。2范圍適用于對公司網(wǎng)絡(luò)、各應(yīng)用系統(tǒng)的邏輯訪問，物理訪問按《安全區(qū)域管理程序》進(jìn)行。3職責(zé)3.1項目部負(fù)責(zé)管理公司網(wǎng)絡(luò)、應(yīng)用系統(tǒng)用戶訪問權(quán)限的分配、審批，以及信息應(yīng)用系統(tǒng)用戶的開通。3.2人力資源部負(fù)責(zé)訪問權(quán)限控制和管理,以及向各部門通知人事變動情況。4程序4.1訪問控制策略4.1.1本公司內(nèi)部可公開的信息不作特別限定，允許所有用戶訪問。4.1.2本公司內(nèi)部部分公開信息，經(jīng)訪問授權(quán)管理部門認(rèn)可，訪問授權(quán)實(shí)施部門實(shí)施后用戶方可訪問。4.1.3用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。4.1.4各系統(tǒng)訪問授權(quán)管理部門應(yīng)編制《系統(tǒng)用戶訪問權(quán)限說明書》，明確規(guī)定訪問規(guī)則，對幾人共用的帳號應(yīng)明確責(zé)任人。4.1.5用戶不得以任何方式私自安裝路由器、交換機(jī)、代理服務(wù)器、無線網(wǎng)絡(luò)訪問點(diǎn)(包括軟件和硬件)，不得私自撤除或更換網(wǎng)絡(luò)設(shè)備。4.1.6只有項目部系統(tǒng)管理員才能開通特權(quán)賬戶。4.2用戶訪問管理4.2.1用戶注冊4.2.1.1所有用戶，包括相關(guān)方服務(wù)人員均需要履行訪問授權(quán)手續(xù)。4.2.1.2申請部門根據(jù)生產(chǎn)、管理工作的需要，確定需要訪問的系統(tǒng)和訪問權(quán)限，經(jīng)過本部門領(lǐng)導(dǎo)同意后，項目部提交《用戶授權(quán)申請表》?！队脩羰跈?quán)申請表》應(yīng)明確以下內(nèi)容：a)權(quán)限申請人員；b)訪問權(quán)限（授權(quán)范圍）；c)申請理由；d)有效期。4.2.1.3項目部審核，總經(jīng)理批準(zhǔn)后，實(shí)施授權(quán)。4.2.2權(quán)限變更4.2.2.1對發(fā)生以下情況對其訪問權(quán)應(yīng)從系統(tǒng)中予以注銷：a)內(nèi)部用戶雇傭合同終止時；b)內(nèi)部用戶因崗位調(diào)整不再需要此項訪問服務(wù)時；c)相關(guān)方服務(wù)合同終止時；d)其它情況必須注銷時。4.2.2.2由于用戶變換崗位等原因造成訪問權(quán)限變更時，用戶應(yīng)重新填寫《用戶授權(quán)申請表》，按照本程序4.2.1的要求履行授權(quán)手續(xù)。4.2.2.3運(yùn)管中心應(yīng)將人事變動情況及時通知項目部，項目部進(jìn)行權(quán)限設(shè)置更改。4.2.2.4特權(quán)用戶因故暫時不能履行特權(quán)職責(zé)時，經(jīng)項目部領(lǐng)導(dǎo)批準(zhǔn)后，將特權(quán)臨時轉(zhuǎn)交可靠人員；特權(quán)用戶返回工作崗位時，收回臨時特權(quán)人員的特權(quán)。4.2.3用戶訪問權(quán)的維護(hù)和評審4.2.3.1對于任何權(quán)限的改變(包括權(quán)限的創(chuàng)建、變更以及注銷)，訪問授權(quán)實(shí)施部門應(yīng)進(jìn)行記錄，填寫《用戶授權(quán)申請表》包括：a)權(quán)限開放/變更/注銷時間；b)變化后權(quán)限內(nèi)容；c)開放權(quán)限的管理員。4.2.3.2安全管理員每半年應(yīng)對訪問權(quán)限進(jìn)行檢查，發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，應(yīng)通知項目部予以調(diào)整。4.2.3.3安全管理員每季度應(yīng)對特權(quán)用戶訪問權(quán)限進(jìn)行檢查，發(fā)現(xiàn)過期的權(quán)限設(shè)置，應(yīng)通知項目部予以注銷。4.2.3.4授權(quán)項目部門應(yīng)對訪問權(quán)限的檢查結(jié)果予以記錄。4.3用戶口令管理4.3.1項目部系統(tǒng)管理員應(yīng)按以下過程對被授權(quán)訪問該系統(tǒng)的用戶口令予以分配：a)在生成帳號時，系統(tǒng)管理員應(yīng)該分配給合法用戶一個唯一的安全臨時口令，并通過安全渠道傳遞給用戶,并要求用戶在第一次登錄時更改臨時口令；b)當(dāng)用戶忘記口令時，系統(tǒng)管理員在獲得用戶的確認(rèn)后可以為其重新分配口令。c)特權(quán)用戶口令，應(yīng)置于密封的信封內(nèi)，有項目部系統(tǒng)管理員在封口簽名后，存放于安全管理員處，并隨口令更新而更新，以備應(yīng)急使用。4.3.2口令策略所有計算機(jī)用戶在使用口令時應(yīng)遵循以下原則：a)所有活動帳號都必須有口令保護(hù)。b)所有系統(tǒng)初始默認(rèn)口令必須更改。c)口令必須至少要含有6個字符，系統(tǒng)管理員口令至少要含有8個字符。d)口令必須同時含有字母和非字母字符。e)口令不能和用戶名或登錄名相同。f)口令不能采用姓名、電話號碼、生日等容易猜測的口令，不得用連續(xù)的數(shù)字或字母群。g)口令必須是保密的，不能共享、含在程序中或?qū)懺诩埳?。h)口令不能通過明文電子郵件傳輸。i)口令不能以明文形式保存在任何電子介質(zhì)中。j)口令不能在工作組中共享以保證可以通過用戶名追查到具體責(zé)任人。k)用戶應(yīng)該在不同的系統(tǒng)中使用不同的口令。l)任何時候有跡象表明系統(tǒng)或口令可能受到損害，就要更換口令。m)一般用戶口令至少半年變更一次，特權(quán)用戶口令至少每季度變更一次；對于用戶口令的變更會影響應(yīng)用程序運(yùn)行的情況，該用戶的口令可以在適當(dāng)?shù)臅r機(jī)予以變更。n)口令應(yīng)妥善保存，不要共享個人用戶口令。4.4相關(guān)方訪問4.4.1相關(guān)方訪問是指本公司以外其他組織/人員對本公司的信息系統(tǒng)的邏輯訪問。4.4.2相關(guān)方訪問包括網(wǎng)絡(luò)訪問、數(shù)據(jù)庫訪問、信息系統(tǒng)訪問。4.4.3相關(guān)方訪問前各責(zé)任部門要對相關(guān)方訪問可能導(dǎo)致的風(fēng)險進(jìn)行評估，維護(hù)被相關(guān)方訪問的本公司信息處理設(shè)施和信息資產(chǎn)的安全，評估意見填寫在《相關(guān)方訪問申請授權(quán)表》上。4.4.4與本公司建立長期業(yè)務(wù)合作關(guān)系，需要經(jīng)常在公司內(nèi)工作的相關(guān)方及長期邏輯訪問本公司信息系統(tǒng)的相關(guān)方，責(zé)任部門應(yīng)與其簽訂《相關(guān)方保密協(xié)議》；規(guī)定其在公司內(nèi)活動的場所范圍，時間和人員資格的要求，以及違反安全規(guī)定協(xié)議須承擔(dān)的法律賠償責(zé)任等，必要時對其工作人員進(jìn)行資格審查。4.4.5如果屬于臨時參觀學(xué)習(xí)或業(yè)務(wù)工作需要的相關(guān)方訪問采用臨時授權(quán)方式。4.4.6授權(quán)程序a)相關(guān)方訪問前，如相關(guān)方需要申請帳號，訪問接待部門應(yīng)填寫《相關(guān)方訪問申請授權(quán)表》，報總經(jīng)理授權(quán)批準(zhǔn)；b)《相關(guān)方訪問申請授權(quán)表》上應(yīng)明確規(guī)定訪問的類型、時間、權(quán)限。c)申請部門/單位接獲授權(quán)后，及時將授權(quán)要求通知接待人員，對外來人員進(jìn)行信息安全教育，對訪問按授權(quán)范圍進(jìn)行控制。4.5互聯(lián)網(wǎng)訪問（策略）4.5.1提供給授權(quán)使用者的互聯(lián)網(wǎng)瀏覽軟件只能用于業(yè)務(wù)，所有訪問互聯(lián)網(wǎng)的人員應(yīng)當(dāng)遵守國家有關(guān)法律、行政法規(guī)，嚴(yán)格執(zhí)行安全保密制度，不得利用國際聯(lián)網(wǎng)從事危害國家安全、泄露國家秘密等違法犯罪活動，不得侵犯國家的、社會的、集體的利益和公民的合法權(quán)益，不得制作、查閱、復(fù)制和傳播妨礙社會治安的信息和淫穢色情等信息，不得從事違法犯罪活動。4.5.2所有用于訪問互聯(lián)網(wǎng)的軟件都必須經(jīng)過公司批準(zhǔn)；4.5.3從互聯(lián)網(wǎng)下載的所有文件必須通過病毒檢測軟件進(jìn)行病毒掃描；4.5.4訪問的所有站點(diǎn)都必須符合信息資源使用策略；4.5.5對用戶在信息資產(chǎn)上的所有活動都必須進(jìn)行記錄并評審；4.5.6不能通過Web站點(diǎn)訪問攻擊性的或騷擾性的資料；4.5.7互聯(lián)網(wǎng)不可以用于個人私利；4.5.8通過外部網(wǎng)