用户访问管理程序
文件版次
V1.0
密级/状态
机密/状态
第PAGE\*Arabic2页共NUMPAGES\*Arabic3页
密级等级:机密
受控状态:受控
文件编号:GM-IP-029-V1.0
用户访问管理程序
V1.0
2024年9月1日
XXXXXX电子科技有限公司
内部资料版权所有未经允许不得抄印
变更履历
版本
变更内容
编制人/
创建日期
审核人/
审核日期
批准人/
批准日期
备注
V1.0
初次发布
1目的
为对本组织各种应用系统的用户访问权限(包括特权用户及相关方用户)实施有效控制,杜绝非法访问,确保系统和信息的安全,特制定本程序。
2范围
本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。
3职责
3.1各部门
负责访问权限的申请、审批。
3.2管理部
负责访问控制的技术管理以及访问权限控制和实施。
负责外来人员物理访问控制。
负责向各部门通知人事变动情况。
4相关文件
《信息安全管理手册》
《口令策略》
5程序
5.1访问控制策略
组织内的信息根机密感等级,分别向不同职位的员工公开。
组织的宣传文件、制度、培训材料、参考文献可向全体员工公开;
人事信息只对管理部开放;
财务信息只管理部开放;
技术信息只对工程人员开放;
业务信息只在相关业务人员间公开。管理部人员根据不同类别的信息,设置其访问权限。
用户不得访问或尝试访问未经授权的网络、系统、文件和服务。
各系统信息安全管理小组应编制《系统访问权限说明书》,明确规定访问规则。
5.2用户访问管理
5.2.1权限申请
所有员工用户,包括相关方人员均需要履行访问授权手续。申请部门根据业务、管理工作的需要,确定需要访问的系统和访问权限,经过本部门经理同意后,向信息安全管理小组提交《用户访问授权申请表》,信息安全管理小组在《用户访问授权登记表》上登记。
《用户访问授权申请表》应对以下内容予以明确:
权限申请人员;
访问权限的级别和范围;
申请理由;
有效期。
经部门主管审核批准后,管理部将根据《用户访问授权申请表》实施授权。
相关方和第三方服务人员的访问申请由负责接待的部门按照上述要求予以办理。但相关方和第三方服务人员不允许成为特权用户。必要时,相关方人员需与访问接待部门签订《相关方保密协议》或《第三方服务保密协议》。
5.2.2特殊权限的管理
对于信息处理设施(硬件、软件和物理区域)的特殊权限应尽力控制在最小的范围内,对特殊权限的授权应有填写《特殊权限授权书》,经总经理批准后方可实施。
5.2.3权限变更
对发生以下情况对其访问权应从系统中予以注销:
内部用户雇佣合同终止时;
内部用户因岗位调整不再需要此项访问服务时;
相关方访问合同终止时;
其它情况必须注销时。
由于用户变换岗位等原因造成访问权限变更时,用户应重新填写《用户访问授权申请表》,按照本程序5.2.1的要求履行授权手续管理部应将人事变动情况及时通知各部门,系统管理员进行权限设置更改。
特权用户因故暂时不能履行特权职责时,根据需要可以经授权部门经理批准后,将特权临时转交可靠人员;特权用户返回工作岗位时,收回临时特权人员的特权。
5.2.4用户访问权的维护和评审
对于任何权限的改变(包括权限的创建、变更以及注销),管理部应进行记录,填写《用户访问授权申请表》包括:
权限开放/变更/注销时间;
变化后权限内容;
开放权限的管理员。管理部部每半年应对访问权限进行检查,发现不恰当的权限设置,应通知管理部予以调整。管理部部每季度应对特权用户访问权限进行检查,发现过期的权限设置,应通知管理部予以注销。
信息安全管理小组应对访问权限的检查结果应记录在《访问权限评审记录》上。
5.2.4外部网站的访问
公司应降低其员工访问包含非法信息或已知包含病毒或网络钓鱼材料的网站的风险,IT考虑阻止对以下类型网站的访问:
a)具有信息上传功能的网站,除非根据正当的业务理由批准;
b)已知或可疑的恶意网站(例如,分发恶意软件或网络钓鱼内容的网站);
c)CC服务器;
d)从威胁情报中获取的恶意网站共享非法内容的网站。
5.3用户口令管理
系统管理员应按以下过程对被授权访问该系统的用户口令予以分配:
分配给用户一个安全临时口令,并通过安全渠道传递给用户,并要求用户在第一次登录时更改临时口令;
当用户忘记口令时,系统管理员在获得用户的确认后可以为其重新分配口令。
所有用户在选择与使用口令时应严格遵组织的《口令策略》。
5.4外来人员物理访问
外来人员的物理访问区域时管理部部控制,当有来访者要进入本组织时,必须说明访问目的及访问人员,在登记完《来访登记单》后,前台发放访客证后,在人员陪同下方可进入组织内部。
6