用户访问控制管理规定.doc

用户访问控制管理规定 1目的 为了明确用户访问控制管理的职责权限、内容和方法要求，特制定本规定。 2适用范围 本规定适用于信息安全管理体系涉及的所有人员（含组织管理人员、普通员工、第三方人员，以下简称“全体员工” ） 3术语和定义 4职责 4.1IT部门 a)是本规定的归口管理部门； b)负责本规定的修订、解释和说明及协调实施工作。 4.2信息安全 进行本规定修订及实施的协调工作 4.3相关部门 贯彻执行本规定的相关规定。 4.4部门管理者 a)各部门管理者作为本部门重要信息资产的负责人承担对资产的管理责任； b)决定本部门是否要单独制定访问控制方案。 4.5IT负责人 a)负责制定和修改组织的访问控制方案，并使它在资产使用的范围内得到切实的执行； b)指导IT责任人的工作，并在必要时进行协调。 c)有权指定系统管理员 4.6IT责任人 a)具体制定和修改组织的访问控制方案，提交IT方案负责审核； b)指导部门IT责任人实施访问控制方案； c)对访问控制方案的进行定期评审，并提出修改意见。 d)委托系统管理员依照IT部门制定的措施规定进行具体实施和具体操作等。但即使在这种情况下，访问控制方案实施状况的最终责任，仍然由IT责任人承担。 4.7部门IT责任人 a)如果本部门需单独制定访问控制方案，在部门管理者的授权下制定和修改本部门的访问控制方案，并使它在资产使用的范围内得到切实的执行； b)在IT责任人的指导下，实施访问控制方案。 c)针对访问控制方案向IT责任人进行问题反馈和提出改善意见。 4.8系统管理员 对于来自IT责任人委托的措施和相关操作，担负着切实履行的责任。 5管理要求 5.1用户认证 组织主要系统，包含组织重要信息的计算机、网络、系统等信息资产的访问控制方案，必须满足《用户标识与口令管理指南》的规定。 5.1.1用户标识控制 相关信息资产责任人所在部门IT责任人为了实现个人认证，需要采取以下措施，部门IT责任人必须管理从用户注册、数据更新到数据删除的用户标识和整个周期，并必须保证它们在上述信息资产使用范围内得到切实的落实。具体控制包括： 5.1.1.1用户注册分派的流程 a)用户或代理人提交用户标识的申请 b)部门IT责任人核实该用户的身份 c)部门管理者审批 d)用户提交到IT责任人 e)IT责任人委托信息系统管理员实施注册 f)系统管理员向用户分派用户标识。 5.1.1.2用户标识分派的注意事项 a)部门IT责任人必须针对每个人发放各自不贩用户标识 b)禁止发放共享的用户标识或再次发放曾用过的标识。 5.1.2.3用户标识的更新和删除流程 a)用户发生变动时，由部门IT责任人，向IT责任人提出更新或删除申请 b)IT责任人委托系统管理员更新和删除所负责系统上的该用户标识，。 注：用户变动指离职、组织内部调动和第三方人员变动。 5.1.2口令控制管理 部门IT责任人遵循《用户标识与口令管理指南》的规定，实施或指导对口令的控制管理。具体管理控制措施包括： 5.1.2.1口令发放 口令发放参照用户标识进行。 5.1.2.2初始口令和用户选择的口令 用户有责任在首次访问时，对提供给他的初始口令修改为自身选择的符合要求的口令。 5.1.2.3口令的管理 用户有责任对任何保密口令。用户还必须定期修改口令。 5.2网络的访问控制 5.2.1访问控制要求 a)IT责任人应制定措施和规定，控制从外部对网络的访问，包括来自外问相关方及本组织员工的访问； b)对网络访问控制的首要规则是拒绝任何类型的未授权的外部访问，可通过在局域网中使用防火墙或其他类似的措施实现。 c)在有必要允许外部相关方访问或组织员工的远程访问的场合，必须采用针对个人的用户认证系统。 5.2.2访问控制措施 IT责任人根据系统的重要程度，必须实施以下的措施和程序；： 5.2.2.1对访问权的审查 IT责任人必须宅基或者在组织的组织结构发生重大变动时及时审查网络访问权限。 5.2.2.2访问记录管理 a)必须管理网络系统的访问日志； b)网络访问日志须保存一定时间，用于审查跟踪。 5.2.2.3访问的监测 a)对于重要的监测，IT责任人必须建立用于监测的措施和程序； b)发现非法访问的场合，必须采取中断相关网络通讯的必要步骤。 5.3操作系统的访问控制 5.3.1访问权的提供 a)IT责任人或IT责任（或委托系统管理员）在授予用户对自己负责的系统的访问权的场合，必须对照组织信息安全相关规定，检查用户是否业务需要，资格是否符合，给予用户最适当的访问权； b)对于最适当的访问权必须包含以下内容：限制访问权的类型，有阅读、更新、执行的权力等；限定访问的对象，为单个文件或文件夹。 5.3.2对访问权的审查 IT责任人或部门IT责任人（或委托系统管理员）必须根据需要或者在组织的组织结构发生重大变动时，及时审核用户的访问权，并根据审查结果更新用户的访问权限。 5.3.3访问记录的管理和监测 对于重要的操作系统，IT责任人或部门重要应用系统的系统管理员必须对系统以及存储在系统中的信息，根据重要程度，制定严格的控制访问的措施和程序。 5.4应用系统的访问控制 5.4.1控制原则 组织重要应用系统和各部门重要应用系统的系统管理员必须对系统以及存储在系统中的信息，根据重要程度，制定严格的控制访问的措施和程序。 5.4.2访问权的提供 a)系统管理员必须根据存储在系统中的信息的重要程度，确定拥有系统访问权的用户 b)在分配用户对系统的访问权时，系统管理员必须依据信息安全规定，检查用户业务的必要性，确认用户的资格，将适当的访问权分配给相应资格的用户。 5.4.3对访问权的提供 系统管理员必须根据或者在组织结构发生重大变动时，及时审查用户的访问权，并根据审查结果更新用户访问权限。 5.4.4访问记录的管理和监测 对重要的应用系统，系统管理员必须保存一定时间段的访问日志，用于审核跟踪。发现非法访问的场合，采取必要对策。 5.5特权管理 5.5.1任何具有特权的管理员 a)为了适当地管理网络系统、操作系统和应用系统，IT负责人在与各部门管理者协商的基础上，可以任命特权管理员并授权他们拥有在需要的时候更改系统配置的特权。 b)在选择特权管理员时，IT负责人必须仔细审查他们的能力和资质； c)特权管理员的数量必须处于最低限度。 5.5.2特权管理员的用户标识和口令管理 特权管理员的用户标识和口令必须进行比一般用户更加严格的管理，详细的要求参见《用户标识与口令管理指南》的规定。 5.6外部相关方访问组织信息资产时，IT责任人作为该外部相关方的管理者必须保证对资习采取适当的访问控制。 5.6.1对该问权的审查 IT责任人应定期和及时审查和核实外部相关方的访问权，并根据审查的结果修改对组织信息资产的访问权限。 5.6.2管理和审查 a)要求和外部相关方责任部门的部门IT责任人，为外部相关方建立账号，向授权访问组织信息资产的外部相关方的每个用户提供有关账号管理和对资产实施正确访问的指示和指导，并监督外部相关方的授权访问； b)该部门IT责任人必须保证外部相关方的适当访问，必要时可以委托该系统管理员监查他的访问记录。 5.6.3信息安全协议或合同 当向外部相关方人员发放访问组织资产的用户标识时，该部门管理者必须确定已与外部相关方部署过保密协议或者含有保密条款的合同文件。 其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。 二．培训的及要求培训目的 安全生产目标责任书 为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015年度安全生产目标的内容，现与财务部签订如下安全生产目标： 一、目标值： 1、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。 2、现金安全保管，不发生盗窃事故。 3、每月足额提取安全生产费用，保障安全生产投入资金的到位。 4、安全培训合格率为100%。 二、本单位安全工作上必须做到以下内容： 1、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。 2、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。 3、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。 4、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。 5、在公司及政府的安全检查中杜绝各类违章现象。 6、组织本部门积极参加安全检查，做到有检查、有整改，记录全。 7、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。 8、虚心接受员工提出的问题，杜绝不接受或盲目指挥； 9、发生事故，应立即报告主管领导，按照“四不放过”的原则召开事故分析会，提出整改措施和对责任者的处理意见，并填写事故登记表，严禁隐瞒不报或降低对责任者的处罚标准。 10、必须按规定对单位员工进行培训和新员工上岗教育； 11、严格执行公司安全生产十六项禁令，保证本单位所有人员不违章作业。 三、 安全奖惩： 1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励；对于未实现安全目标的按照公司规定进行处罚。 2、每月接受主管领导指派人员对安全生产责任状的落