信息系統(tǒng)訪問(wèn)控制管理規(guī)定

1、信息系統(tǒng)訪問(wèn)控制管理規(guī)定第_章總則第一條 為加強(qiáng)科技發(fā)展部信息系統(tǒng)的訪問(wèn)管理，規(guī)范用戶管理、 密碼管理及訪問(wèn)控制管理行為，特制定本規(guī)定。第二條本規(guī)定適用于科技發(fā)展部負(fù)責(zé)運(yùn)行維護(hù)的信息系統(tǒng)及其管 理活動(dòng)。第二章組織和職責(zé)第三條科技發(fā)展部風(fēng)險(xiǎn)管理組負(fù)責(zé)監(jiān)督各部門(mén)在信息系統(tǒng)訪問(wèn)管 理方面的工作。第四條 各部門(mén)安全組負(fù)責(zé)監(jiān)督和檢查本部門(mén)在信息系統(tǒng)訪問(wèn)管理 方面的工作。第五條 各部門(mén)負(fù)責(zé)信息系統(tǒng)訪問(wèn)的日常管理，部門(mén)負(fù)責(zé)人負(fù)責(zé)本 部門(mén)職責(zé)范圍內(nèi)的用戶權(quán)限申請(qǐng)、變更、回收的審核工作，定期組 織對(duì)本部門(mén)訪問(wèn)管理的自查。第六條全體員工必須遵守本規(guī)定的要求，按需申請(qǐng)信息系統(tǒng)的訪 問(wèn)權(quán)限，嚴(yán)格管理分配給本人的用戶并

2、定期修改密碼，不越權(quán)訪問(wèn) 未被授權(quán)訪問(wèn)的內(nèi)容。第三章基本原則第七條信息系統(tǒng)訪問(wèn)管理遵循如下基本原則：（一）隔離運(yùn)行：對(duì)于不同重要程度的信息系統(tǒng)，應(yīng)采取特定的隔離措施，確保各類系統(tǒng)獨(dú)立運(yùn)行；（二）權(quán)限最?。河脩糁粦?yīng)具有完成工作所需的訪問(wèn)權(quán)限；（三）用戶唯一：信息系統(tǒng)中的用戶應(yīng)該具有唯一性；（四）按需授權(quán)：權(quán)限審批時(shí)應(yīng)根據(jù)用戶實(shí)際需要審批授權(quán)；（五）職責(zé)分離：用戶訪問(wèn)的請(qǐng)求、授權(quán)、管理應(yīng)實(shí)現(xiàn)職責(zé)分離；（六）默認(rèn)拒絕：未經(jīng)明確授權(quán)，一律視為禁止。第四章用戶管理第八條用戶對(duì)信息系統(tǒng)的訪問(wèn)和權(quán)限變更需要提出申請(qǐng)，用戶所 在部門(mén)的負(fù)責(zé)人對(duì)申請(qǐng)進(jìn)行初審，信息系統(tǒng)的主管部門(mén)負(fù)責(zé)人進(jìn)行 復(fù)審，信息系統(tǒng)的用戶管理

3、員負(fù)責(zé)處理得到審批后的請(qǐng)求。第九條 用戶管理員對(duì)本系統(tǒng)其他用戶的權(quán)限進(jìn)行管理和維護(hù)，不 得私自增加、修改、撤銷其他用戶權(quán)限和密碼。第十條 用戶管理員負(fù)責(zé)密碼信封（含電子密碼信封）的制作，負(fù)責(zé) 建立信息系統(tǒng)的用戶權(quán)限清單和特權(quán)用戶清單，綜合組統(tǒng)一保管和 備案。第十一條普通用戶在授權(quán)范圍內(nèi)完成自己的工作，不得擅自將用戶名和密碼轉(zhuǎn)授他人使用，工作完成后應(yīng)立即退出系統(tǒng)。第十二條信息系統(tǒng)的主管部門(mén)應(yīng)定期向使用部門(mén)提供相關(guān)用戶權(quán)限 清單，使用部門(mén)負(fù)責(zé)人應(yīng)根據(jù)該清單核實(shí)用戶權(quán)限分配情況并反饋 給信息系統(tǒng)的主管部門(mén)。第十三條信息系統(tǒng)的主管部門(mén)應(yīng)定期對(duì)特權(quán)用戶進(jìn)行審查，確保特 權(quán)用戶的使用受到監(jiān)督。第十四條用戶

4、離崗時(shí)，必須辦理離崗手續(xù)，申請(qǐng)回收或變更已經(jīng)被 授予的權(quán)限，用戶管理員必須及時(shí)對(duì)權(quán)限進(jìn)行變更或撤消。第五章密碼第十五條用戶必須設(shè)置密碼，所有崗位人員只能掌握本人工作所需 的密碼，不得窺探其他用戶的密碼。第十六條信息系統(tǒng)用戶的密碼長(zhǎng)度應(yīng)滿足相應(yīng)系統(tǒng)的安全要求，密 碼長(zhǎng)度不得短于6位，密碼的設(shè)置需科學(xué)、嚴(yán)密、合理，須混合使 用字母、數(shù)字或特殊符號(hào)，不得使用缺省密碼。第十七條密碼的存儲(chǔ)應(yīng)得到必要的保護(hù)。紙質(zhì)形式存儲(chǔ)的密碼應(yīng)放 到保險(xiǎn)箱內(nèi)，其使用應(yīng)得到授權(quán)，并對(duì)使用情況進(jìn)行記錄；電子形 式存儲(chǔ)的密碼，不得以明文方式存放，應(yīng)采取加密等控制措施。第十八條生產(chǎn)環(huán)境中的信息系統(tǒng)，其默認(rèn)的密碼必須被修改。第十九

5、條用戶在得到自己的初始密碼后，必須立即更改初始密碼； 重要崗位人員變動(dòng)交接時(shí)或發(fā)現(xiàn)密碼泄漏時(shí)，必須立即更改密碼， 密碼泄漏事件應(yīng)立即報(bào)告所屬部門(mén)信息安全員。第二十條信息系統(tǒng)用戶的密碼必須定期修改，密碼修改的期限不能 超過(guò)3個(gè)月。第二十一條 由于未及時(shí)修改密碼等原因?qū)е沦~戶被鎖，用戶需重 新辦理用戶權(quán)限申請(qǐng)手續(xù)。第六章訪問(wèn)控制第二十二條 用戶必須在經(jīng)科技發(fā)展部批準(zhǔn)的指定區(qū)域內(nèi)登錄生產(chǎn) 系統(tǒng)，登錄時(shí)必須使用指定的設(shè)備。第二十三條 生產(chǎn)系統(tǒng)的遠(yuǎn)程訪問(wèn)需要實(shí)施嚴(yán)格的控制，特權(quán)用戶 不得通過(guò)遠(yuǎn)程訪問(wèn)登錄生產(chǎn)系統(tǒng)。第二十四條 針對(duì)第三方必須進(jìn)行的遠(yuǎn)程訪問(wèn)，應(yīng)確保用于連接的 物理線路在訪問(wèn)結(jié)束后及時(shí)斷開(kāi)。第

6、二十五條 操作系統(tǒng)應(yīng)設(shè)置用戶的聯(lián)機(jī)時(shí)間限制，確保長(zhǎng)時(shí)間無(wú) 響應(yīng)的訪問(wèn)能夠自動(dòng)斷開(kāi)。第二十六條 各部門(mén)應(yīng)該嚴(yán)格控制生產(chǎn)系統(tǒng)中系統(tǒng)工具的使用，對(duì) 于可能超越系統(tǒng)和應(yīng)用程序控制措施的系統(tǒng)工具使用，應(yīng)有登記并 由相關(guān)負(fù)責(zé)人審批。第二十七條 操作系統(tǒng)（含網(wǎng)絡(luò)操作系統(tǒng)）應(yīng)設(shè)置會(huì)話超時(shí)退出機(jī)制 及密碼錯(cuò)誤超限鎖定機(jī)制。第二十八條信息系統(tǒng)日志記錄必須包含用戶名稱，訪問(wèn)時(shí)間和退 出時(shí)間等必要信息。第二十九條無(wú)人值守的設(shè)備必須采取屏幕保護(hù)、會(huì)話超時(shí)等措施 進(jìn)行保護(hù)，防止非授權(quán)訪問(wèn)。第三十條用戶在離開(kāi)所操作的信息系統(tǒng)時(shí)，應(yīng)退出登錄狀態(tài)。第三十一條用戶在科技發(fā)展部外部使用移動(dòng)計(jì)算設(shè)備（如筆記本計(jì) 算機(jī)）時(shí)，必須實(shí)施適當(dāng)?shù)谋Ｗo(hù)措施，避免信息泄漏或設(shè)備失竊。第七章附則