ISO27001用戶訪問控制程序

用戶訪問掌握程序〔ISO27001〕目的制定本程序。范圍訪問按《安全區(qū)域掌握程序》進(jìn)展掌握。職責(zé)與權(quán)限技術(shù)部負(fù)責(zé)公司信息系統(tǒng)相關(guān)訪問權(quán)限的安排、審批，以及帳號口令治理。其他部門術(shù)部人員對用戶賬號及權(quán)限進(jìn)展定期復(fù)查。相關(guān)文件a) 《計(jì)算機(jī)治理程序》術(shù)語定義無掌握程序訪問掌握策略日常辦公。僅供經(jīng)過公司授權(quán)的人員使用。外部來訪人員需要使用公司網(wǎng)絡(luò)效勞必需經(jīng)過相關(guān)負(fù)責(zé)人同意，才能授權(quán)其使用。不得將訪問密碼隨便告知不必要的人員。后，無線網(wǎng)絡(luò)治理人員應(yīng)代為輸入訪問密碼，不得直接告知密碼，確保無線訪問密碼的安全。原來的訪問密碼。無線網(wǎng)絡(luò)訪問點(diǎn)(包括軟件和硬件)等。用戶不得私自撤除或更換網(wǎng)絡(luò)設(shè)備。用遠(yuǎn)程方式維護(hù)，應(yīng)確保有相應(yīng)的身份驗(yàn)證〔如登錄密碼〕等安全保護(hù)措施，遠(yuǎn)程維護(hù)完畢應(yīng)準(zhǔn)時(shí)關(guān)閉遠(yuǎn)程維護(hù)端口。用共享文件時(shí)，應(yīng)對共享文件進(jìn)展加密保護(hù)，并準(zhǔn)時(shí)通知需要獵取共享信息的人員，還應(yīng)準(zhǔn)時(shí)撤消文件共享。種證明從特定位置和設(shè)備進(jìn)展連接的手段，如IP地址對應(yīng)計(jì)算機(jī)名。非網(wǎng)絡(luò)系統(tǒng)治理人員不得使用系統(tǒng)有用程序〔系統(tǒng)工具止對系統(tǒng)造成破壞?！踩缲?cái)務(wù)系統(tǒng)可考慮實(shí)行適當(dāng)?shù)倪B接時(shí)間限制和訪問掌握，在不常常使用時(shí)停頓應(yīng)用系統(tǒng)或關(guān)閉設(shè)備?！踩缏┒磼呙韫ぞ叩鹊脑L問及使用應(yīng)加以限制及保護(hù)，制止任何可能的濫用或誤用，防止對公司信息系統(tǒng)帶來損害。用戶訪問治理權(quán)限申請流程如下：訪問的系統(tǒng)和訪問權(quán)限，經(jīng)過本部門領(lǐng)導(dǎo)同意后，向技術(shù)部提交“用戶人員〔如技術(shù)部網(wǎng)管人員〕實(shí)施。訪問授權(quán)實(shí)施人員實(shí)施授權(quán)?！坝脩羰跈?quán)申請表”應(yīng)對以下內(nèi)容予以明確：權(quán)限申請人員；訪問權(quán)限的級別和范圍；申請理由；有效期。權(quán)限變更對發(fā)生以下狀況對其訪問權(quán)應(yīng)從系統(tǒng)中予以注銷：內(nèi)部用戶雇傭合同終止時(shí)；內(nèi)部用戶因崗位調(diào)整不再需要此項(xiàng)訪問效勞時(shí)；第三方訪問合同終止時(shí)；其它狀況必需注銷時(shí)。6.2.1的要求履行授權(quán)手續(xù)。人員〔如網(wǎng)管人員〕應(yīng)準(zhǔn)時(shí)收回其帳號和權(quán)限。權(quán)部門領(lǐng)導(dǎo)批準(zhǔn)后，將特權(quán)臨時(shí)轉(zhuǎn)交牢靠人員；特權(quán)用戶返回工作崗位時(shí)，收回臨時(shí)特權(quán)人員的特權(quán)。用戶訪問權(quán)的維護(hù)和評審授權(quán)實(shí)施人員應(yīng)進(jìn)展記錄，填寫“用戶授權(quán)申請表”包括：權(quán)限開放/變更/注銷時(shí)間；變化后權(quán)限內(nèi)容；開放權(quán)限的治理員。權(quán)限設(shè)置，應(yīng)通知訪問授權(quán)實(shí)施人員予以調(diào)整或注銷。授權(quán)治理部門應(yīng)對訪問權(quán)限的檢查結(jié)果予以記錄。用戶口令治理用戶口令予以安排：臨時(shí)口令，并通過安全渠道傳遞給用戶，并要求用戶在第一次登錄時(shí)更改臨時(shí)口令；安排口令?？诹畈呗匀坑?jì)算機(jī)用戶在使用口令時(shí)應(yīng)遵循以下原則：全部活動(dòng)帳號都必需有口令保護(hù)。全部系統(tǒng)初始默認(rèn)口令必需更改?？诹钶斎霑r(shí)不應(yīng)將口令的明文顯示出來，應(yīng)當(dāng)實(shí)行掩蓋措施?？诹畋匦柚辽僖?個(gè)字符?？诹畈荒芎陀脩裘虻卿浢粯??？诹畈荒苁亲值渲心軌蛘业降脑~?？诹畈荒艹惺苄彰⑻柎a、生日等簡潔猜測的口令，不得用連續(xù)的數(shù)字或字母群?？诹畋匦枋潜Ｃ艿?，不能共享、含在程序中或?qū)懺诩埳??？诹畈荒芡ㄟ^明文電子郵件傳輸?？诹畈荒芡ㄟ^語音或移動(dòng)告知?？诹畈荒芤悦魑男问奖４嬖谌魏坞娮咏橘|(zhì)中。人。用戶應(yīng)當(dāng)在不同的系統(tǒng)中使用不同的口令。PGP或強(qiáng)度相當(dāng)?shù)募用艽胧┑谋Ｗo(hù)下將口令存放在電子文件中。任何時(shí)候有跡象說明系統(tǒng)或口令可能受到損害，就要更換口令。一次；對于用戶口令的變更會(huì)影響應(yīng)用程序運(yùn)行的狀況，該用戶的口令可以在適當(dāng)?shù)臅r(shí)機(jī)予以變更。第三方訪問/人員對本公司的信息系統(tǒng)的規(guī)律訪問。系統(tǒng)訪問。第三方訪問前各責(zé)任部門要對第三方訪問可能導(dǎo)致的風(fēng)險(xiǎn)進(jìn)展評估，實(shí)行適當(dāng)?shù)恼莆沾胧踩纾菏跈?quán)、簽署保密協(xié)議等方訪問的本公司信息處理設(shè)施和信息資產(chǎn)的安全。第三方授權(quán)的方式包括簽訂協(xié)議和臨時(shí)訪問授權(quán)兩種方式。與本公司建立長期業(yè)務(wù)合作關(guān)系，需要常常在公司內(nèi)工作的第三方及長期規(guī)律訪問本公司信息系統(tǒng)的第三方，應(yīng)與其簽訂安全條款進(jìn)展資格審查。時(shí)授權(quán)方式。第三方訪問的授權(quán)需要書面授權(quán)。授權(quán)權(quán)限的規(guī)定：訪問敏感信息須經(jīng)對應(yīng)部門負(fù)責(zé)人及公司領(lǐng)導(dǎo)批準(zhǔn)授權(quán)；可進(jìn)展；第三方人員在工作完成