用戶訪問控制管理規(guī)定_第1頁
已閱讀1頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、用戶訪問控制管理規(guī)定1目的為了明確用戶訪問控制管理的職責權(quán)限、內(nèi)容和方法要求,特制定本規(guī)定。2適用范圍本規(guī)定適用于信息安全管理體系涉及的所有人員(含組織管理人員、普通員工、第三方人員,以下簡稱“全體員工”)3術(shù)語和定義4職責4.1IT部門a)是本規(guī)定的歸口管理部門;b)負責本規(guī)定的修訂、解釋和說明及協(xié)調(diào)實施工作。4.2信息安全進行本規(guī)定修訂及實施的協(xié)調(diào)工作4.3相關(guān)部門貫徹執(zhí)行本規(guī)定的相關(guān)規(guī)定。4.4部門管理者a)各部門管理者作為本部門

2、重要信息資產(chǎn)的負責人承擔對資產(chǎn)的管理責任;b)決定本部門是否要單獨制定訪問控制方案。4.5IT負責人a)負責制定和修改組織的訪問控制方案,并使它在資產(chǎn)使用的范圍內(nèi)得到切實的執(zhí)行;b)指導(dǎo)IT責任人的工作,并在必要時進行協(xié)調(diào)。c)有權(quán)指定系統(tǒng)管理員4.6IT責任人a)具體制定和修改組織的訪問控制方案,提交IT方案負責審核;b)指導(dǎo)部門IT責任人實施訪問控制方案;c)對訪問控制方案的進行定期評審,并提出修改意見。d)委托系統(tǒng)管理員依照IT部

3、門制定的措施規(guī)定進行具體實施和具體操作等。但即使在這種情況下,訪問控制方案實施狀況的最終責任,仍然由IT責任人承擔。4.7部門IT責任人a)如果本部門需單獨制定訪問控制方案,在部門管理者的授權(quán)下制定和修改本部門的訪問控制方案,并使它在資產(chǎn)使用的范圍內(nèi)得到切實的執(zhí)行;b)在IT責任人的指導(dǎo)下,實施訪問控制方案。c)針對訪問控制方案向IT責任人進行問題反饋和提出改善意見。4.8系統(tǒng)管理員對于來自IT責任人委托的措施和相關(guān)操作,擔負著切實履行

4、的責任。5管理要求5.1用戶認證組織主要系統(tǒng),包含組織重要信息的計算機、網(wǎng)絡(luò)、系統(tǒng)等信息資產(chǎn)的訪問控制方案,必須滿足《用戶標識與口令管理指南》的規(guī)定。5.1.1用戶標識控制相關(guān)信息資產(chǎn)責任人所在部門IT責任人為了實現(xiàn)個人認證,需要采取以下措施,部門IT責任人必須管理從用戶注冊、數(shù)據(jù)更新到數(shù)據(jù)刪除的用戶標識和整個周期,并必須保證它們在上述信息資產(chǎn)使用范圍內(nèi)得到切實的落實。具體控制包括:5.1.1.1用戶注冊分派的流程a)用戶或代理人提交用

5、戶標識的申請b)部門IT責任人核實該用戶的身份c)部門管理者審批d)用戶提交到IT責任人e)IT責任人委托信息系統(tǒng)管理員實施注冊f)系統(tǒng)管理員向用戶分派用戶標識。適當?shù)脑L問權(quán)分配給相應(yīng)資格的用戶。5.4.3對訪問權(quán)的提供系統(tǒng)管理員必須根據(jù)或者在組織結(jié)構(gòu)發(fā)生重大變動時,及時審查用戶的訪問權(quán),并根據(jù)審查結(jié)果更新用戶訪問權(quán)限。5.4.4訪問記錄的管理和監(jiān)測對重要的應(yīng)用系統(tǒng),系統(tǒng)管理員必須保存一定時間段的訪問日志,用于審核跟蹤。發(fā)現(xiàn)非法訪問的場

6、合,采取必要對策。5.5特權(quán)管理5.5.1任何具有特權(quán)的管理員a)為了適當?shù)毓芾砭W(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng),IT負責人在與各部門管理者協(xié)商的基礎(chǔ)上,可以任命特權(quán)管理員并授權(quán)他們擁有在需要的時候更改系統(tǒng)配置的特權(quán)。b)在選擇特權(quán)管理員時,IT負責人必須仔細審查他們的能力和資質(zhì);c)特權(quán)管理員的數(shù)量必須處于最低限度。5.5.2特權(quán)管理員的用戶標識和口令管理特權(quán)管理員的用戶標識和口令必須進行比一般用戶更加嚴格的管理,詳細的要求參見《用戶標識

7、與口令管理指南》的規(guī)定。5.6外部相關(guān)方訪問組織信息資產(chǎn)時,IT責任人作為該外部相關(guān)方的管理者必須保證對資習采取適當?shù)脑L問控制。5.6.1對該問權(quán)的審查IT責任人應(yīng)定期和及時審查和核實外部相關(guān)方的訪問權(quán),并根據(jù)審查的結(jié)果修改對組織信息資產(chǎn)的訪問權(quán)限。5.6.2管理和審查a)要求和外部相關(guān)方責任部門的部門IT責任人,為外部相關(guān)方建立賬號,向授權(quán)訪問組織信息資產(chǎn)的外部相關(guān)方的每個用戶提供有關(guān)賬號管理和對資產(chǎn)實施正確訪問的指示和指導(dǎo),并監(jiān)督外

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論