用户访问管理程序

《用户访问管理程序》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、用户访问管理程序[LK-ISMS-B-29]Ver1.0发布口期2014年10月15日发布部门信息安全管理小组实施日期2014年10月15日XXXXXXX计算机技术有限公司文件编号用户访问管理程序文件版次1.0密级变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准口期1.0初次发布XXXXXXX计算机技术有限公司文件编号用户访问管理程序文件版次1.0密级秘密1目的为对本组织各种应用系统的用户访问权限（包括特权用八及相关方用八）实施有效控制,杜绝非法访问，确保系统和信

2、息的安全，特制定本程序。2范冃本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。3职责3.1各部门负责访问权限的申请、审批。3.2信息安全管理小组负责向各部门通知人事变动情况。负责外来人员物理访问控制。信息安全管理小组网络管理员负责访问控制的技术管理以及访问权限控制和实施。4相关文件《信息安全管理手册》《口令策略》5程序5.1访问控制策略组织内的信息根据敏感等级，分别向不同职位的员工公开。a）组织的宣传文件、制度、培训材料、参考文献可向全体员工公开;b）人事信息只向信息安全管理小组公开；c）财务信息只向财务部

3、公开；XXXXXXX计算机技术有限公司文件编号用户访问管理程序文件版次1.0密级秘密d）业务信息只在相关业务人员间公开。IT人员根据不同类别的信息，设置其访问权限。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。各系统信息安全管理小组应编制《系统访问权限说明书》，明确规定访问规则。5.2用户访问管理5.2.1权限申请所有用户，包括相关方人员均需要履行访问授权手续。申请部门根据业务、管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，向信息安全管理小组提交《用户访问授权申请表》，信息安全管理小

4、组在《用户访问授权登记表》上登记。《用户访问授权申请表》应对以下内容予以明确：a）权限申请人员；b）访问权限的级别和范围；c）申请理由；d）有效期。经信息安全管理小组审核批准后，将《用户访问授权申请表》交信息安全管理小组，信息安全管理小组网络管理员实施授权。相关方和第三方服务人员的访问申请由负责接待的部门按照上述要求予以办理。但相关方和第三方服务人员一般不允许成为特权用户。必要时，相关方人员需与访问接待部门签订《相关方保密协议》或《第三方服务保密协议》。5.2.2权限变更对发生以下情况对其访问权应从系统中了以注销：

5、a）内部用户雇佣合同终止时；b）内部用户因岗位调整不再需要此项访问服务时；c）相关方访问合同终止吋；d）其它情况必须注销时。由于用户变换岗位等原因造成访问权限变更时，用户应重新填写《用户访问授权巾请表》，按照本程序5.2.1的要求履行授权手续。信息安全管理小组应将人事变动情况及时通知各部门，网络管理员进行权限设置更改。特权用户因故暂吋不能履行特权职责吋，根据需要可以经授权部门经理批准后，将特权临时转交可靠人员；特权用户返回工作岗位时，收回临时特权人员的特权。5.2.3用户访问权的维护和评审对于任何权限的改变（包括权

6、限的创建、变更以及注销）、访问，信息安全管理小组应进行记录，填写《用户访问授权申请表》包括：XXXXXXX计算机技术有限公司文件编号用户访问管理程序文件版次1.0密级秘密a）权限开放/变更/注销时I'可；b）变化后权限内容；c）开放权限的管理员。信息安全管理小组每半年应对访问权限进行检查，发现不恰当的权限设置，应通知信息安全管理小组网络管理员予以调整。信息安全管理小组每季度应对特权用户访问权限进行检查，发现过期的权限设置，应通知信息安全管理小组网络管理员予以注销。信息安全管理小组应对访问权限的检查结果应记录在《访问

7、权限评审记录》上。5.3用户口令管理信息安全管理小组网络管理员应按以下过程对被授权访问该系统的用户口令予以分配:a）分配给用户一个安全临吋口令，并通过安全渠道传递给用户，并要求用户在第一次登录时更改临时口令；b）当用户忘记口令时，系统管理员在获得用户的确认后可以为其重新分配口令。所有用户在选择与使用口令时应严格遵守组织的《口令策略》。5.4外来人员物理访问外来人员的物理访问由信息安全管理小组控制，当有来访者要进入本组织时，必须先向组织申请，并说明访问目的及访问人员，在登记完《第三方物理访问申请授权表》后，信息安全管

8、理小组人员通知受访部门人员后，才可进入组织内部。6记录《系统访问权限说明书》《用户访问授权申请表》《用户访问授权登记表》《第三方物理访问屮请授权表》《相关方保密协议》《第三方服务保密协议》《访问权限评审记录》