用戶訪問控制管理規(guī)定

1、用戶訪問控制管理規(guī)定1目的為了明確用戶訪問控制管理的職責權限、內容和方法要求，特制定本規(guī)定。2適用范圍本規(guī)定適用于信息安全管理體系涉及的所有人員（含組織管理人員、普通員工、第三方人員，以下簡稱“全體員工”）3術語和定義4職責4.1IT部門a)是本規(guī)定的歸口管理部門；b)負責本規(guī)定的修訂、解釋和說明及協(xié)調實施工作。4.2信息安全進行本規(guī)定修訂及實施的協(xié)調工作4.3相關部門貫徹執(zhí)行本規(guī)定的相關規(guī)定。4.4部門管理者a)各部門管理者作為本部門

2、重要信息資產的負責人承擔對資產的管理責任；b)決定本部門是否要單獨制定訪問控制方案。4.5IT負責人a)負責制定和修改組織的訪問控制方案，并使它在資產使用的范圍內得到切實的執(zhí)行；b)指導IT責任人的工作，并在必要時進行協(xié)調。c)有權指定系統(tǒng)管理員4.6IT責任人a)具體制定和修改組織的訪問控制方案，提交IT方案負責審核；b)指導部門IT責任人實施訪問控制方案；c)對訪問控制方案的進行定期評審，并提出修改意見。d)委托系統(tǒng)管理員依照IT部

3、門制定的措施規(guī)定進行具體實施和具體操作等。但即使在這種情況下，訪問控制方案實施狀況的最終責任，仍然由IT責任人承擔。4.7部門IT責任人a)如果本部門需單獨制定訪問控制方案，在部門管理者的授權下制定和修改本部門的訪問控制方案，并使它在資產使用的范圍內得到切實的執(zhí)行；b)在IT責任人的指導下，實施訪問控制方案。c)針對訪問控制方案向IT責任人進行問題反饋和提出改善意見。4.8系統(tǒng)管理員對于來自IT責任人委托的措施和相關操作，擔負著切實履行

4、的責任。5管理要求5.1用戶認證組織主要系統(tǒng)，包含組織重要信息的計算機、網(wǎng)絡、系統(tǒng)等信息資產的訪問控制方案，必須滿足《用戶標識與口令管理指南》的規(guī)定。5.1.1用戶標識控制相關信息資產責任人所在部門IT責任人為了實現(xiàn)個人認證，需要采取以下措施，部門IT責任人必須管理從用戶注冊、數(shù)據(jù)更新到數(shù)據(jù)刪除的用戶標識和整個周期，并必須保證它們在上述信息資產使用范圍內得到切實的落實。具體控制包括：5.1.1.1用戶注冊分派的流程a)用戶或代理人提交用

5、戶標識的申請b)部門IT責任人核實該用戶的身份c)部門管理者審批d)用戶提交到IT責任人e)IT責任人委托信息系統(tǒng)管理員實施注冊f)系統(tǒng)管理員向用戶分派用戶標識。適當?shù)脑L問權分配給相應資格的用戶。5.4.3對訪問權的提供系統(tǒng)管理員必須根據(jù)或者在組織結構發(fā)生重大變動時，及時審查用戶的訪問權，并根據(jù)審查結果更新用戶訪問權限。5.4.4訪問記錄的管理和監(jiān)測對重要的應用系統(tǒng)，系統(tǒng)管理員必須保存一定時間段的訪問日志，用于審核跟蹤。發(fā)現(xiàn)非法訪問的場

6、合，采取必要對策。5.5特權管理5.5.1任何具有特權的管理員a)為了適當?shù)毓芾砭W(wǎng)絡系統(tǒng)、操作系統(tǒng)和應用系統(tǒng)，IT負責人在與各部門管理者協(xié)商的基礎上，可以任命特權管理員并授權他們擁有在需要的時候更改系統(tǒng)配置的特權。b)在選擇特權管理員時，IT負責人必須仔細審查他們的能力和資質；c)特權管理員的數(shù)量必須處于最低限度。5.5.2特權管理員的用戶標識和口令管理特權管理員的用戶標識和口令必須進行比一般用戶更加嚴格的管理，詳細的要求參見《用戶標識

7、與口令管理指南》的規(guī)定。5.6外部相關方訪問組織信息資產時，IT責任人作為該外部相關方的管理者必須保證對資習采取適當?shù)脑L問控制。5.6.1對該問權的審查IT責任人應定期和及時審查和核實外部相關方的訪問權，并根據(jù)審查的結果修改對組織信息資產的訪問權限。5.6.2管理和審查a)要求和外部相關方責任部門的部門IT責任人，為外部相關方建立賬號，向授權訪問組織信息資產的外部相關方的每個用戶提供有關賬號管理和對資產實施正確訪問的指示和指導，并監(jiān)督外