用户访问管理程序

用户访问管理程序1目的为加强对信息系统授权访问的控制，防止对信息系统的未经授权的访问，特制定本程序。2范围适用于对公司网络、各应用系统的逻辑访问，物理访问按《安全区域管理程序》进行。3职责3.1项目部负责管理公司网络、应用系统用户访问权限的分配、审批，以及信息应用系统用户的开通。3.2人力资源部负责访问权限控制和管理,以及向各部门通知人事变动情况。4程序4.1访问控制策略4.1.1本公司内部可公开的信息不作特别限定，允许所有用户访问。4.1.2本公司内部部分公开信息，经访问授权管理部门认可，访问授权实施部门实施后用户方可访问。4.1.3用户不得访问或尝试访问未经授权的网络、系统、文件和服务。4.1.4各系统访问授权管理部门应编制《系统用户访问权限说明书》，明确规定访问规则，对几人共用的帐号应明确责任人。4.1.5用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件)，不得私自撤除或更换网络设备。4.1.6只有项目部系统管理员才能开通特权账户。4.2用户访问管理4.2.1用户注册4.2.1.1所有用户，包括相关方服务人员均需要履行访问授权手续。4.2.1.2申请部门根据生产、管理工作的需要，确定需要访问的系统和访问权限，经过本部门领导同意后，项目部提交《用户授权申请表》。《用户授权申请表》应明确以下内容：a)权限申请人员；b)访问权限（授权范围）；c)申请理由；d)有效期。4.2.1.3项目部审核，总经理批准后，实施授权。4.2.2权限变更4.2.2.1对发生以下情况对其访问权应从系统中予以注销：a)内部用户雇佣合同终止时；b)内部用户因岗位调整不再需要此项访问服务时；c)相关方服务合同终止时；d)其它情况必须注销时。4.2.2.2由于用户变换岗位等原因造成访问权限变更时，用户应重新填写《用户授权申请表》，按照本程序4.2.1的要求履行授权手续。4.2.2.3运管中心应将人事变动情况及时通知项目部，项目部进行权限设置更改。4.2.2.4特权用户因故暂时不能履行特权职责时，经项目部领导批准后，将特权临时转交可靠人员；特权用户返回工作岗位时，收回临时特权人员的特权。4.2.3用户访问权的维护和评审4.2.3.1对于任何权限的改变(包括权限的创建、变更以及注销)，访问授权实施部门应进行记录，填写《用户授权申请表》包括：a)权限开放/变更/注销时间；b)变化后权限内容；c)开放权限的管理员。4.2.3.2安全管理员每半年应对访问权限进行检查，发现不恰当的权限设置，应通知项目部予以调整。4.2.3.3安全管理员每季度应对特权用户访问权限进行检查，发现过期的权限设置，应通知项目部予以注销。4.2.3.4授权项目部门应对访问权限的检查结果予以记录。4.3用户口令管理4.3.1项目部系统管理员应按以下过程对被授权访问该系统的用户口令予以分配：a)在生成帐号时，系统管理员应该分配给合法用户一个唯一的安全临时口令，并通过安全渠道传递给用户,并要求用户在第一次登录时更改临时口令；b)当用户忘记口令时，系统管理员在获得用户的确认后可以为其重新分配口令。c)特权用户口令，应置于密封的信封内，有项目部系统管理员在封口签名后，存放于安全管理员处，并随口令更新而更新，以备应急使用。4.3.2口令策略所有计算机用户在使用口令时应遵循以下原则：a)所有活动帐号都必须有口令保护。b)所有系统初始默认口令必须更改。c)口令必须至少要含有6个字符，系统管理员口令至少要含有8个字符。d)口令必须同时含有字母和非字母字符。e)口令不能和用户名或登录名相同。f)口令不能采用姓名、电话号码、生日等容易猜测的口令，不得用连续的数字或字母群。g)口令必须是保密的，不能共享、含在程序中或写在纸上。h)口令不能通过明文电子邮件传输。i)口令不能以明文形式保存在任何电子介质中。j)口令不能在工作组中共享以保证可以通过用户名追查到具体责任人。k)用户应该在不同的系统中使用不同的口令。l)任何时候有迹象表明系统或口令可能受到损害，就要更换口令。m)一般用户口令至少半年变更一次，特权用户口令至少每季度变更一次；对于用户口令的变更会影响应用程序运行的情况，该用户的口令可以在适当的时机予以变更。n)口令应妥善保存，不要共享个人用户口令。4.4相关方访问4.4.1相关方访问是指本公司以外其他组织/人员对本公司的信息系统的逻辑访问。4.4.2相关方访问包括网络访问、数据库访问、信息系统访问。4.4.3相关方访问前各责任部门要对相关方访问可能导致的风险进行评估，维护被相关方访问的本公司信息处理设施和信息资产的安全，评估意见填写在《相关方访问申请授权表》上。4.4.4与本公司建立长期业务合作关系，需要经常在公司内工作的相关方及长期逻辑访问本公司信息系统的相关方，责任部门应与其签订《相关方保密协议》；规定其在公司内活动的场所范围，时间和人员资格的要求，以及违反安全规定协议须承担的法律赔偿责任等，必要时对其工作人员进行资格审查。4.4.5如果属于临时参观学习或业务工作需要的相关方访问采用临时授权方式。4.4.6授权程序a)相关方访问前，如相关方需要申请帐号，访问接待部门应填写《相关方访问申请授权表》，报总经理授权批准；b)《相关方访问申请授权表》上应明确规定访问的类型、时间、权限。c)申请部门/单位接获授权后，及时将授权要求通知接待人员，对外来人员进行信息安全教育，对访问按授权范围进行控制。4.5互联网访问（策略）4.5.1提供给授权使用者的互联网浏览软件只能用于业务，所有访问互联网的人员应当遵守国家有关法律、行政法规，严格执行安全保密制度，不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息，不得从事违法犯罪活动。4.5.2所有用于访问互联网的软件都必须经过公司批准；4.5.3从互联网下载的所有文件必须通过病毒检测软件进行病毒扫描；4.5.4访问的所有站点都必须符合信息资源使用策略；4.5.5对用户在信息资产上的所有活动都必须进行记录并评审；4.5.6不能通过Web站点访问攻击性的或骚扰性的资料；4.5.7互联网不可以用于个人私利；4.5.8通过外部网