版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、用戶訪問控制管理規(guī)定1目的為了明確用戶訪問控制管理的職責(zé)權(quán)限、內(nèi)容和方法要求,特制定本規(guī)定。2適用范圍本規(guī)定適用于信息安全管理體系涉及的所有人員(含組織管理人員、普通員工、第三方人員,以下簡稱“全體員工”)3術(shù)語和定義4職責(zé)4.1IT部門a)是本規(guī)定的歸口管理部門;b)負(fù)責(zé)本規(guī)定的修訂、解釋和說明及協(xié)調(diào)實(shí)施工作。4.2信息安全進(jìn)行本規(guī)定修訂及實(shí)施的協(xié)調(diào)工作4.3相關(guān)部門貫徹執(zhí)行本規(guī)定的相關(guān)規(guī)定。4.4部門管理者a)各部門管理者作為本部門
2、重要信息資產(chǎn)的負(fù)責(zé)人承擔(dān)對資產(chǎn)的管理責(zé)任;b)決定本部門是否要單獨(dú)制定訪問控制方案。4.5IT負(fù)責(zé)人a)負(fù)責(zé)制定和修改組織的訪問控制方案,并使它在資產(chǎn)使用的范圍內(nèi)得到切實(shí)的執(zhí)行;b)指導(dǎo)IT責(zé)任人的工作,并在必要時進(jìn)行協(xié)調(diào)。c)有權(quán)指定系統(tǒng)管理員4.6IT責(zé)任人a)具體制定和修改組織的訪問控制方案,提交IT方案負(fù)責(zé)審核;b)指導(dǎo)部門IT責(zé)任人實(shí)施訪問控制方案;c)對訪問控制方案的進(jìn)行定期評審,并提出修改意見。d)委托系統(tǒng)管理員依照IT部
3、門制定的措施規(guī)定進(jìn)行具體實(shí)施和具體操作等。但即使在這種情況下,訪問控制方案實(shí)施狀況的最終責(zé)任,仍然由IT責(zé)任人承擔(dān)。4.7部門IT責(zé)任人a)如果本部門需單獨(dú)制定訪問控制方案,在部門管理者的授權(quán)下制定和修改本部門的訪問控制方案,并使它在資產(chǎn)使用的范圍內(nèi)得到切實(shí)的執(zhí)行;b)在IT責(zé)任人的指導(dǎo)下,實(shí)施訪問控制方案。c)針對訪問控制方案向IT責(zé)任人進(jìn)行問題反饋和提出改善意見。4.8系統(tǒng)管理員對于來自IT責(zé)任人委托的措施和相關(guān)操作,擔(dān)負(fù)著切實(shí)履行
4、的責(zé)任。5管理要求5.1用戶認(rèn)證組織主要系統(tǒng),包含組織重要信息的計算機(jī)、網(wǎng)絡(luò)、系統(tǒng)等信息資產(chǎn)的訪問控制方案,必須滿足《用戶標(biāo)識與口令管理指南》的規(guī)定。5.1.1用戶標(biāo)識控制相關(guān)信息資產(chǎn)責(zé)任人所在部門IT責(zé)任人為了實(shí)現(xiàn)個人認(rèn)證,需要采取以下措施,部門IT責(zé)任人必須管理從用戶注冊、數(shù)據(jù)更新到數(shù)據(jù)刪除的用戶標(biāo)識和整個周期,并必須保證它們在上述信息資產(chǎn)使用范圍內(nèi)得到切實(shí)的落實(shí)。具體控制包括:5.1.1.1用戶注冊分派的流程a)用戶或代理人提交用
5、戶標(biāo)識的申請b)部門IT責(zé)任人核實(shí)該用戶的身份c)部門管理者審批d)用戶提交到IT責(zé)任人e)IT責(zé)任人委托信息系統(tǒng)管理員實(shí)施注冊f)系統(tǒng)管理員向用戶分派用戶標(biāo)識。適當(dāng)?shù)脑L問權(quán)分配給相應(yīng)資格的用戶。5.4.3對訪問權(quán)的提供系統(tǒng)管理員必須根據(jù)或者在組織結(jié)構(gòu)發(fā)生重大變動時,及時審查用戶的訪問權(quán),并根據(jù)審查結(jié)果更新用戶訪問權(quán)限。5.4.4訪問記錄的管理和監(jiān)測對重要的應(yīng)用系統(tǒng),系統(tǒng)管理員必須保存一定時間段的訪問日志,用于審核跟蹤。發(fā)現(xiàn)非法訪問的場
6、合,采取必要對策。5.5特權(quán)管理5.5.1任何具有特權(quán)的管理員a)為了適當(dāng)?shù)毓芾砭W(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng),IT負(fù)責(zé)人在與各部門管理者協(xié)商的基礎(chǔ)上,可以任命特權(quán)管理員并授權(quán)他們擁有在需要的時候更改系統(tǒng)配置的特權(quán)。b)在選擇特權(quán)管理員時,IT負(fù)責(zé)人必須仔細(xì)審查他們的能力和資質(zhì);c)特權(quán)管理員的數(shù)量必須處于最低限度。5.5.2特權(quán)管理員的用戶標(biāo)識和口令管理特權(quán)管理員的用戶標(biāo)識和口令必須進(jìn)行比一般用戶更加嚴(yán)格的管理,詳細(xì)的要求參見《用戶標(biāo)識
7、與口令管理指南》的規(guī)定。5.6外部相關(guān)方訪問組織信息資產(chǎn)時,IT責(zé)任人作為該外部相關(guān)方的管理者必須保證對資習(xí)采取適當(dāng)?shù)脑L問控制。5.6.1對該問權(quán)的審查IT責(zé)任人應(yīng)定期和及時審查和核實(shí)外部相關(guān)方的訪問權(quán),并根據(jù)審查的結(jié)果修改對組織信息資產(chǎn)的訪問權(quán)限。5.6.2管理和審查a)要求和外部相關(guān)方責(zé)任部門的部門IT責(zé)任人,為外部相關(guān)方建立賬號,向授權(quán)訪問組織信息資產(chǎn)的外部相關(guān)方的每個用戶提供有關(guān)賬號管理和對資產(chǎn)實(shí)施正確訪問的指示和指導(dǎo),并監(jiān)督外
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 用戶身份管理及訪問控制技術(shù)研究.pdf
- sqlserver2005控制用戶權(quán)限訪問表
- 基于角色訪問控制的用戶管理系統(tǒng)的設(shè)計與實(shí)現(xiàn).pdf
- 基于角色訪問控制的有線電視用戶管理系統(tǒng).pdf
- 基于PERMIS實(shí)現(xiàn)對用戶的訪問控制.pdf
- 公司用戶訪問制度
- 基于用戶行為訪問控制的研究與應(yīng)用.pdf
- 基于PERMIS PMI的用戶授權(quán)與訪問控制.pdf
- 網(wǎng)管系統(tǒng)中用戶權(quán)限管理和訪問控制技術(shù)研究與實(shí)現(xiàn).pdf
- 基于用戶信任度的網(wǎng)絡(luò)動態(tài)訪問控制研究.pdf
- 寬帶IP網(wǎng)用戶訪問管理系統(tǒng)的研究.pdf
- cisco基本訪問控制列表管理
- 認(rèn)證與訪問控制-應(yīng)用信息系統(tǒng)用戶帳號與角色權(quán)限管理辦法
- 訪問控制管理模型研究.pdf
- 華為配置用戶及遠(yuǎn)程訪問
- 數(shù)據(jù)訪問控制中基于中間代理的用戶撤銷方法.pdf
- vf環(huán)境多用戶訪問
- Internet用戶訪問模型研究.pdf
- WEB用戶認(rèn)證和訪問控制技術(shù)的研究與實(shí)現(xiàn).pdf
- 海洋環(huán)境信息云平臺用戶訪問控制策略研究.pdf
評論
0/150
提交評論