JYYH-GD--用户访问管理制度.doc

. 文档密级：普通 文档状态： 草案 正式发布 正在修订 受控状态： 受控 非受控 日期日期 版版 本本 描述描述作者作者审核审核 审批审批 2015-01-08A0 A 版首次发布 质量小组孙佩连春华 . 目 录 1.1.适用适用.1 1 2.2.目的目的.1 1 3.3.职责职责.1 1 4.4.工作程序工作程序.1 1 4.1.访问控制策略访问控制策略.1 4.2.用户访问管理用户访问管理.2 4.3.用户口令管理用户口令管理.3 4.4.用户账号管理用户账号管理.4 5.5.记录记录.4 4 . 1.适用适用 适用于本公司的各种应用系统涉及到的逻辑访问的控制。 2.目的目的 对本公司各种应用系统的用户访问权限（包括特权用户及第三方用户)实施有效控制， 杜绝非法访问，确保系统和信息的安全。 3.职责职责 1)各系统的访问授权由管理者代表负责访问权限的审批。 2)信息部系统管理员负责访问控制的技术管理以及访问权限控制和实施。 3)人力资源部负责向信息部系统管理员通知人事变动情况。 4.工作程序工作程序 4.1.访问控制策略访问控制策略 1)公司内部可公开的信息不作特别限定，允许所有用户访问。 2)公司内部部分公开信息，经管理者代表认可，信息部系统管理员实施后用户方可 访问。 3)用户不得访问或尝试访问未经授权的网络、系统、文件和服务。 4)第三方人员（客户、供应商、合作伙伴等）严禁访问公司网络与系统 5)信息部系统管理员应编制系统用户访问权限说明书 ，并经过管理者代表批准， 以明确规定访问规则。 6)信息部系统管理员应编制网络服务与端口策略配置表 ，并经过管理者代表批准， 以明确网络服务访问。 . 7)所有计算机操作系统、数据库系统与多用户业务系统均应按用户设置安全登录控 制，严禁未验证用户账号与口令就可登录； 8)非本系统管理员或特权用户不得使用系统实用程序； 9)本公司一律禁止共享以下文件： a)涉及客户的敏感文档与软件； b)项目技术资料（包括源代码、方案、测试报告等） ； c)涉及知识产权的文档或软件（如盗版软件） d)其他涉及公司敏感信息或与法律法规相违背的信息。 4.2.用户访问管理用户访问管理 1)权限申请 a)授权流程 申请部门申请管理者代表审批信息部系统管理员实施 所有用户，包括第三方人员均需要履行访问授权手续。 申请部门根据工作的需要，确定需要访问的系统和访问权限,经过本部门 主管同意后，向管理者代表提交用户授权申请表 ，经管理者代表审核 批准后，将用户授权申请表信息部系统管理员实施。 第三方人员的访问申请由负责接待的部门按照上述要求予以办理。 第三方人员访问公司系统与网络前，需与公司签订保密协议 。 b)用户授权申请表应对以下内容予以明确: 权限申请人员 账号 访问权限的级别和范围 申请理由 有效期 2)权限变更 a)对发生以下情况对其访问权应从系统中予以注销： 内部用户雇佣合同终止时； 内部用户因岗位调整不再需要此项访问服务时； . 第三方访问合同终止时； 其它情况必须注销时。 b)因用户变换岗位等原因造成访问权限变更时，用户应重新填写用户授权申 请表 ，按照本制度的要求履行授权手续。 c) 人力资源部应将人事变动情况及时通知信息部系统管理员进行权限设置更改。 d)特权用户因故暂时不能履行特权职责时，根据需要可以经管理者代表批准后， 将特权临时转交可靠人员；特权用户返回工作岗位时，收回临时特权人员的 特权。 3)用户访问权的维护和评审 a)遵循权限最小原则，即只应将能完成某项工作所需的最小权限授予相关人士。 b)对于任何账号以及权限的改变(包括权限的创建、变更以及注销)，信息部系 统管理员应进行记录，填写用户授权申请表包括： 账号 权限开放/变更/注销时间； 变化后权限内容； 开放权限的管理员 c)信息部管理员每季度应对所有系统的账号以及访问权限进行检查，发现不恰当的 账号以及权限设置，应予以调整。 d)管理者代表每季度应对特权用户账号以及访问权限进行检查，发现过期的账 号以及权限设置，应通知信息部系统管理员予以注销。 e)管理者代表应对账号以及访问权限的检查结果予以记录，填写用户访问权 限评审表 。 4.3.用户口令管理用户口令管理 1、 信息部系统管理员应按以下过程对被授权访问该系统的用户口令予以分配： 分配给用户一个安全临时口令，并通过安全渠道传递给用户,并要求用户在第一次 登录时更改临时口令；当用户忘记口令时，系统管理员在获得用户的确认后可以为 . 其重新分配口令。 2、 口令的选择与使用要求 所有计算机用户在使用口令时应遵循以下原则： 保守口令的机密性，避免保留口令的字面记录，明文存储或明文网络传递。 任何时候有迹象表明系统或口令可能受到损害，就要更换口令。 台式 PC 机和笔记本电脑系统口令最小长度 6 位，不要采用姓名、电话号码、生 日等别人容易猜测或得到的口令，不要用连续的数字或字母群，应采用字母、 数字与特殊字符的两两组合。 服务器系统口令最小长度 8 位，强密码，必须采用字母、数字与特殊字符的完全 组合。 一般用户口令每 42 天变更一次，特权用户口令每月变更一次；对于用户口令的 变更会影响应用程序运行的情况，该用户的口令可以在适当的时机予以变更。 在第一次登录时，需要更换临时口令。 口令应妥善保存，不得多人共享同一口令，不得有两人及其以上口令设置一样。 不同系统访问口令尽量做到不同，超级用户口令不得与其它任何访问口令重复； 4.4.用户账号管理用户账号管理 1)创建的所有账号都必须有适于系统或服务的要求和批准； 2)所有账号都必须使用分配的用户进行唯一性标识； 3)严禁两人及以上共享同一账号与口令； 4)所有账号的默认口令都必须依照口令策略进行创建； 5)所有账号都必须符合口令策略的口令期限； 6)用户账号长期不用（超过 30 天）就会无效； 7)所有新用户账号自创建之日起 30 天不登录也会无效； 8)信息部系统管理员： 负责删除个人账号； 服从单独的审核评审； 当经授权管理者要求时，必须提供他们管理的系统账号的列表； 必须与授权的管理者合作调查安全事故。 . 4.5.特权用户管理特权用户管理 1)第三方人员不允许成为特权用户； 2)每个系统的特权账号与口令必须由专人负责，严禁外泄； 3)每一个使用特权账号的个人都必须避免滥用权力，并且必须在信息部的指导下使 用； 4)每一个使用特权账号的个人必须以最适宜所执行的工作的方式行使账号权力 ； 5)每一个特权账户必须满足口令策略的要求； 6)特权访问账号的口令在人员离职或发生变更时必须更改； 7)在系统只有一名管理员的情况下，口令必须由管理者代表进行恰当的备份保管， 严防外泄，以便在紧急情况下其他人可