ISMS-B-09用戶訪問(wèn)控制程序

文件編號(hào)：ISMS-B-09文件編號(hào)：ISMS-B-09版本：A/0M~~碼：第#頁(yè)共6頁(yè)用戶訪問(wèn)控制程序內(nèi)部機(jī)密，未經(jīng)許可，不得扌宜自復(fù)印!內(nèi)部機(jī)密，未經(jīng)許可，不得扌宜自復(fù)印!j） 口令不能通過(guò)語(yǔ)音或移動(dòng)電話告知。k） 口令不能以明文形式保存在任何電子介質(zhì)中。1） 口令不能在工作組中共享以保證可以通過(guò)用戶劃追査到具體責(zé)任人。m）用戶應(yīng)該在不同的系統(tǒng)中使用不同的口令。n）可以在PGP或強(qiáng)度相當(dāng)?shù)募用艽胧┑谋Ｗo(hù)下將口令存放在電子文件中。0）任何時(shí)候有跡象表明系統(tǒng)或口令可能受到損害，就要更換口令。p）一般用戶口令至少一年變更一次，特權(quán)用戶口令至少每半年變更一次；對(duì)于用戶口令的變更會(huì)影響應(yīng)用程序運(yùn)行的情況，該用戶的口令可以在適當(dāng)?shù)臅r(shí)機(jī)予以變更。6.4第三方訪問(wèn)6.4.1第三方訪問(wèn)是指本公司以外苴他組織/人員對(duì)本公司的信息系統(tǒng)的邏輯訪問(wèn)。6.4.2第三方訪問(wèn)包括網(wǎng)絡(luò)訪問(wèn)、操作系統(tǒng)訪問(wèn)、數(shù)據(jù)庫(kù)訪問(wèn)、信息系統(tǒng)訪問(wèn)。6.4.3第三方訪問(wèn)前各責(zé)任部門要對(duì)第三方訪問(wèn)可能導(dǎo)致的風(fēng)險(xiǎn)進(jìn)行評(píng)估，采取適當(dāng)?shù)目刂拼胧ㄈ?授權(quán)、簽署保密協(xié)議等），維護(hù)被第三方訪問(wèn)的本公司信息處理設(shè)施和信息資產(chǎn)的安全。6.4.4第三方授權(quán)的方式包括簽訂協(xié)議和臨時(shí)訪問(wèn)授權(quán)兩種方式。6.4.4.1與本公司建立長(zhǎng)期業(yè)務(wù)合作關(guān)系，需要經(jīng)常在公司內(nèi)工作的第三方及長(zhǎng)期邏借訪問(wèn)本公司信息系統(tǒng)的第三方，應(yīng)與其簽訂安全條款或保密協(xié)議：規(guī)泄其在公司內(nèi)活動(dòng)的場(chǎng)所范用，時(shí)間和人員資格的要求，以及違反安全規(guī)定協(xié)議須承擔(dān)的法律賠償責(zé)任等，必要時(shí)對(duì)英工作人員進(jìn)行資格審査。6.4.4.2如果屬于臨時(shí)參觀學(xué)習(xí)或業(yè)務(wù)工作需要的第三方訪問(wèn)采用臨時(shí)授權(quán)方式。6.4.5第三方訪問(wèn)的授權(quán)6.4.5.1第三方在訪問(wèn)本公司網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、信息系統(tǒng)時(shí)需要書而授權(quán)。6.4.5.2授權(quán)權(quán)限的規(guī)定:a） 訪問(wèn)敏感信息須經(jīng)對(duì)應(yīng)部門負(fù)責(zé)人及公司領(lǐng)導(dǎo)批準(zhǔn)授權(quán)：b） 所有的邏輯訪問(wèn)均需信息管理部部負(fù)責(zé)人審核，報(bào)公司領(lǐng)導(dǎo)批準(zhǔn)授權(quán)后方可進(jìn)行；c） 第三方人員在工作完成后立即收回。6.4.5.3授權(quán)程序a）第三方訪問(wèn)前，如第三方需要申請(qǐng)帳號(hào)，訪問(wèn)接待部門應(yīng)填寫'‘第三方訪問(wèn)申請(qǐng)/授權(quán)表”，辦理相關(guān)授權(quán)批準(zhǔn)手續(xù)：b）“第三方訪問(wèn)申請(qǐng)/授權(quán)表”上應(yīng)明確規(guī)定訪問(wèn)的類型、時(shí)間、權(quán)限