11.信息系统权限管理制度（全文完整）

下面是小编为大家整理的11.信息系统权限管理制度（全文完整）,供大家参考。

　文件编号：WI-YJF-011 版本：A0

　 信息系统权限管理制度

　 撰写：

　审核：

　批准：

　发布：2020 年 8 月 1 日

　版本历史

　序号

　 版本

　修订内容

　修订部门/ / 人

　修订时间

　1 V1.0 制定

　2020-8-1 2

　 3

　4

　5

　一、目的

　为了加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行，防范应用风险，特制定本制度。

　由系统运维部基于业务和访问的安全要求，建立各应用系统的访问控制策略，作为系统管理手册的一部分。

　1.访问控制策略需考虑到下列内容：

　 各个业务应用的安全要求。

　 业务应用中工作角色和用户访问需求。

　 网络环境中的访问权限的管理要求。

　 访问控制角色的分离，例如访问请求、访问授权、访问管理。

　 用户访问请求的正式授权管理要求。

　 用户访问控制的定期检查与评审要求。

　 用户访问权的取消。

　2.基于访问控制策略，对操作系统的登录程序加以控制：

　 不显示系统或应用标识符，直到登录过程已成功完成为止。

　 显示只有已授权的用户才能访问计算机的告警通知。

　 在登录过程中，不提供对未授权用户的帮助消息。

　 限制所允许的不成功登录尝试的次数。

　 记录不成功的尝试和成功的尝试。

　 如果达到登录的最大尝试次数，向系统控制台发送警报消息。

　3.系统管理员需限制用户对应用系统远程访问的范围和内容，在远程访问过程结束后需确保断开连接。

　4.系统管理员负责记录用户远程访问操作过程，包括访问时间、连接方式、访问用户、操作过程等。

　5.针对防火墙及入侵检测等安全系统的远程访问，必须使用严格的用户认证手段，任何情况下都不允许通过其他网络对安全系统实施远程访问。另外，安全系统的远程连接中必须使用加密技术，以防窃听。

　二、系统用户安全管理

　1.系统用户注册与注销程序  在服务器和系统进行安装时，要改变默认的操作系统管理员账号名称和数据库账号名称；  新用户注册时，由用户所在部门递交访问授权异动申请，并报相关系统管理员审核；  系统管理员需检查所授予的访问级别是否与业务目的相适合，是否与组织的安全方针保持一致，例如，它没有违背责任分割原则；  如申请不符合业务要求，则不予批准，如符合要求，由系统管理员根据访问授权异动记录，在系统中建立唯一用户 ID。

　 在对于业务或操作而言必需的地方，才允许使用组 ID，此时需递交组 ID 申请，并报相关系统主管审核批准。

　 当用户的工作角色或岗位发生变更，或离职时，员工所在单位（部门）需立刻递交访问授权异动申请，并报相关系统管理员批准；系统管理员根据新的访问授权异动申请取消或封锁该用户的访问权。

　 各信息系统管理人员负责定期（每月）检查并取消或封锁多余的用户 ID 和帐号，确保多余的用户 ID 不会发给其他用户。

　2.系统用户标识和鉴别  所有用户拥有唯一指定标识，如员工工号。

　 用户 ID 是应用系统中用户唯一的、专供其使用的标识符，系统管理员需配置系统，使用户的各个活动能追踪到责任者。

　 当需要采用一组用户或一项特定作业使用一个共享的用户 ID 时，需遵照组 ID管理进行控制，具体参见“用户注册及注销程序”的组 ID 条款。

　3.系统用户口令管理  在用户初次使用应用系统时，系统管理员提供给一个安全的临时口令，并强制其立即修改；临时口令以安全的方式给予用户，不得使用第三方或未保护的（明文）电子邮件消息。

　 系统管理员需对用户口令设置进行指导和要求，如口令长度和复杂性、定期更

　换等。

　 系统管理员需确保口令不以未保护的形式存储在计算机系统内。

　 系统管理员需在系统或软件安装后改变提供商的默认口令。

　4.各信息系统管理人员根据已审核批准的访问授权异动申请表为用户进行正确的授权，使得用户与其行为相连接。

　5.特殊权限管理应遵守用户注册和注销管理程序的规定，特殊权限包括操作系统、数据库管理系统和每个应用程序，特殊权限需被分配一个不同于正常业务用途所用的用户ID。

　6.用户访问权限复查  系统管理员负责定期（每年）或在有任何变更之后（如人员提升、降级或雇用终止）清查并填写访问授权相关记录。

　 对于特定的特殊权限的访问权的授权，系统管理员每 6 个月进行一次访问权复查，填写访问授权相关记录；具有特殊权限的帐户的变更需在周期性复查时记入日志。

推荐访问:信息系统 管理制度 权限