009-用户访问控制程序
国税申报文件编号:YJF-SP-009
版本:A1
文档秘级:秘密用户访问控制程序
撰写:
审核:
批准:两岸青山相对出的下一句
发布:2021年4月1日
版本历史
1  范围
本标准规定了**********科技有限公司逻辑访问的管理。
本标准适用作系统、数据库、各应用系统的逻辑访问,物理访问按《安全区域管理程序》进行。
2  规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改或修订均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YJF-SP-024  相关方服务管理程序
克拉恋人最后结局YJF-SP-010  计算机管理程序
3  术语和定义
4  职责和权限
4.1  系统运维部
负责企业网、互联网访问权限的分配、审批,以及信息系统的服务器操作系统用户、数据库用户、应用管理员用户的开通。
4.2  其他部门
各部门根据实际需要向综合办公室提交账号及访问权限的申请,协助综合办公室人员对用户账号及权限进行定期复查。
5  活动描述
自动关机怎么设置5.1  访问控制策略
5.1.1 本公司内部可公开的信息不作特别限定,允许所有用户访问。
5.1.2 本公司内部部分公开信息,经访问授权管理部门认可,访问授权实施部门实施后用户方可访问。
5.1.3 用户不得访问或尝试访问未经授权的网络、系统、文件和服务。
5.1.4远程用户应该通过本公司批准的连接方式。
5.1.5用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件)等。
5.1.6用户不得私自撤除或更换网络设备。
七情六欲指什么
5.1.7应限制对系统实用程序(System Utility Program)的使用。
a) 系统实用工具程序仅控制限于「特权帐户」使用;
b) 将系统实用工具和应用软件分开;
c) 限制系统实用工具的可用性,例如,在授权变更的时间内;实用工具程序仅控制限于「特权帐户」使用。「特权帐户」例如:主机系统的管理员,Windows系统的Adminisrator,数据库软件例如Oracle的 system、DBA,或者路由器、交换机的“enable”口令,都可以作改变配置、安装软件、不受一般系统安全的限制;
d) 系统实用工具程序应安装在单独的地方,其访问限制权与其它应用程序区分。
5.2  用户访问管理
5.2.1 权限申请
5.2.1.1所有用户,包括第三方人员均需要履行访问授权手续(针对信息系统审核的访问也应提前申请)。授权流程如下:
申请部门申请:申请部门根据业务及管理工作的需要,确定需要访问的系统、访问权限和要申请的项目,在钉钉的工作流程单中,对应的项目中填写申请内容进行申请。
5.2.1.2钉钉工作流程单应对以下内容予以明确:
a) 权限申请人员;
b) 访问权限的级别和范围;
c) 申请理由;
d) 有效期。
5.2.2权限变更
5.2.2.1对发生以下情况对其访问权应从系统中予以注销:
a) 内部用户雇佣合同终止时;
b) 内部用户因岗位调整不再需要此项访问服务时;
c) 第三方访问合同终止时;
d) 其它情况必须注销时。
5.2.2.2由于用户变换岗位等原因造成访问权限变更时,用户应重新填写“用户授权申请表”,按照本标准5.2.1的要求履行授权手续。
5.2.2.3人力资源部应将人事变动情况及时通知各部门,访问授权实施部门应进行权限设置更改。
5.2.2.4特权用户因故暂时不能履行特权职责时,根据需要可以经授权部门领导批准后,将特权临时转交可靠人员;特权用户返回工作岗位时,收回临时特权人员的特权。
5.2.3管理或操作处理PII的系统和服务的用户的注册和注销流程应解决用户对其访问控制受到损害的情况,如密码泄密或其他用户注册数据受到侵害。
对于处理PII的系统和服务,公司不应向用户重新发布任何已经失效或已经过期的用户ID。
一些司法管辖区对与处理PII的系统相关的未使用的身份验证凭据的检查频率提出了特定要求。在这些司法管辖区运营的公司应考虑这些要求。
手串什么材质的好
5.2.4 IT部门应保持为已经授权访问信息系统,其中包括PII创建的用户信息的记录准确,且保持最新。该记录包括关于该用户的一系列数据,包括用户ID。可以使适当配置系统识别访问PII的用户以及他们所作的添加,删除或更改。
除了保护公司外,用户还可以通过识别他们已经处理的内容以及未处理的内容来获得保护。
在公司将PII处理作为服务提供的情况下,客户可以负责访问管理的一些或所有方面,在适当情况下,公司向客户提供执行访问管理的方法,如通过提供管理权限来管理或终止访问。
5.2.5 用户访问权的维护和评审
5.2.5.1对于任何权限的改变(包括权限的创建、变更以及注销),访问授权实施部门应进行记录,填写“用户授权申请表”包括:
a) 权限开放/变更/注销时间;
b) 变化后权限内容;
c) 开放权限的管理员。
5.2.5.2授权管理部门每半年应对访问权限进行检查,发现不恰当的权限设置,应通知访问授权实施部门予以调整。
5.2.5.3特权授权管理部门每季度应对特权用户访问权限进行检查,发现过期的权限设置,应通知访问授权实施部门予以注销。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。