返回
ISMS~2010信息系统访问管理程序.doc

ISMS~2010信息系统访问管理程序.doc

ID:56905315

大小:104.00 KB

页数:6页

时间:2020-07-22

ISMS~2010信息系统访问管理程序.doc_第1页
ISMS~2010信息系统访问管理程序.doc_第2页
ISMS~2010信息系统访问管理程序.doc_第3页
ISMS~2010信息系统访问管理程序.doc_第4页
ISMS~2010信息系统访问管理程序.doc_第5页
资源描述:

《ISMS~2010信息系统访问管理程序.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、市首品精密模型ISMS信息系统访问管理程序文件编号:ISMS-2010编制审核批准变更履历序号版本编号或更改记录编号简要说明(变更容、变更位置、变更原因和变更围)变更日期变更人审核人批准人批准日期1A/0初始发行----2016-8-51目的为规信息部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。2围本程序适用于IT核心系统及外围系统的维护、登录与管理。3相关文件《口令管理规定》4职责4.1机房管理员负责中心机房的维护、运行及管理。4.2信息部其他人员配合机房管理员的工作。5程序5.1各系统安全登录程序5.1.1由机房管理员对登录程序应进行检查确保登录程序满足如下要求:(a)不

2、显示系统或应用标识符,直到登录过程已成功完成为止;(b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息;(c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的;(d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑:1)使用策略或其他手段记录不成功的尝试;2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权情况下拒绝任何进一步的尝试;3)断开数据链路;4)如果达到登录的最大尝试次数,向系统控制台(或向机房管理员)发送警报消息;5)结合口令的最小长度和被保护系统的价值(风险评估的结果或部存储信息的价值)设置口令重试的次数;(

3、e)限制登录程序所允许的最大和最小次数。如果超时,则系统应终止登录;(f)在成功登陆完成时,显示下列信息:1)前一次成功登陆的日期和时间;2)上次成功登陆之后的任何不成功登陆尝试的细节;(g)不显示输入的口令或考虑通过符号隐蔽口令字符;(h)不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。5.1.2登录程序满足上述要求后,任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。5.1.3相关职能人员得到授权后,对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态,防止未授权访问发生的可能。5.1.4其他部门人员因业务需要,需登录

4、信息部核心系统或外围系统时,必须由中心机房管理人员全程陪同。5.2用户身份标识和鉴别5.2.1信息部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户ID及口令。5.2.2机房管理员对中心机房各系统建立用户ID身份鉴别策略,以确保用户ID的任何活动都可以追踪到各个责任人。常规业务操作不可以使用有特殊权限的账户执行。5.2.3如在特定时间机房管理员需平凡操作或登录核心系统或外围系统,则可由机房管理员提出《外部公司机房特殊业务工作单》由信息部总经理审批,审批通过后再特定时间机房管理员可以随时访问核心系统或外围系统,访问期间必须留有系统的日志审核记录以便事后查

5、阅。5.2.4机房管理员应管理核心系统及外围系统的访问权限,确保普通ID或特定ID只有其工作围的权限(如:普通ID只有对系统的只读权限,特定ID只具有在特定目录下有访问权限其他目录均无权限)依照《口令管理规定》对权限形成记录并定期进行检查。5.2.5进入中心机房或前置机房或备份机房时需使用指纹方可进入,不经相关负责人授权任何人不得以任何理由使用自己的指纹替他人开启以上区域。5.3口令管理5.3.1在登录核心系统或外围系统时,必须使用自己的用户ID及口令,确保身份的可核查。5.3.2信息部员工需要登录核心系统或外围系统需要提交《系统访问授权书》,如果是第一次登陆且没有用户ID及密码则按照《口

6、令管理规定》进行用户ID的申请,由机房管理员根据申请添加用户ID及默认密码并且设置密码历史记录(推荐记录3次),用户在第一次登陆后必须对密码进行更改,否则由机房管理员强行收回用户ID。5.3.3口令必须是由数字、字幕、符号,长度7位组成并且不可以使用例如:生日、、等易于猜解的密码。5.3.4口令的存放可查看《口令管理规定》5.4系统实用工具的使用5.4.1系统实用工具是指可能超越系统和应用程序控制措施的实用工具。5.4.2网络管理员应对信息部所有的软件进行整理并形成《软件验收保管登记台账》由网络管理员对《软件验收保管登记台账》进行标识,将系统实用工具与应用程序分开。5.4.3由网络管理员定

7、期(每周)将使用系统实用工具的用户进行重新评审,确保用户权限限制到最小实际用户数并且保证其是可信的、已被授权的。5.4.4由网络管理员对系统实用工具进行控制并保留所有操作日志。5.4.5如有新的系统实用工具的添加或在特定系统的安全,必须由该区域副总经理授权审批《系统实用工具安装审批》通过后,方可由网络管理员进行安装及调试。5.4.6信息部所有信息处理设施,由网络管理员协助各业务人员移除或禁用基于实用工具和系统软件的所有不

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。