信息系统访问控制管理规定

信息系统访问控制管理规定
信息系统访问控制管理规定
第⼀章总则
第⼀条为加强科技发展部信息系统的访问管理，规范⽤户管理、密码管理及访问控制管理⾏为，特制定本规定。

第⼆条本规定适⽤于科技发展部负责运⾏维护的信息系统及其管理活动。

第⼆章组织和职责
第三条科技发展部风险管理组负责监督各部门在信息系统访问管理⽅⾯的⼯作。

第四条各部门安全组负责监督和检查本部门在信息系统访问管理⽅⾯的⼯作。

第五条各部门负责信息系统访问的⽇常管理，部门负责⼈负责本部门职责范围内的⽤户权限申请、变更、回收的审核⼯作，定期组织对本部门访问管理的⾃查。

第六条全体员⼯必须遵守本规定的要求，按需申请信息系统的访问权限，严格管理分配给本⼈的⽤户并定期修改密码，不越权访问未被授权访问的内容。

第三章基本原则
第七条信息系统访问管理遵循如下基本原则：
(⼀)隔离运⾏：对于不同重要程度的信息系统，应采取特定的隔离
措施，确保各类系统独⽴运⾏；
(⼆)权限最⼩：⽤户只应具有完成⼯作所需的访问权限；
(三)⽤户唯⼀：信息系统中的⽤户应该具有唯⼀性；
(四)按需授权：权限审批时应根据⽤户实际需要审批授权；
(五)职责分离：⽤户访问的请求、授权、管理应实现职责分离；
(六)默认拒绝：未经明确授权，⼀律视为禁⽌。

第四章⽤户管理
第⼋条⽤户对信息系统的访问和权限变更需要提出申请，⽤户所在部门的负责⼈对申请进⾏初审，信息系统的主管部门负责⼈进⾏复审，信息系统的⽤户管理员负责处理得到审批后的请求。

第九条⽤户管理员对本系统其他⽤户的权限进⾏管理和维护，不得私⾃增加、修改、撤销其他⽤户权限和密码。

第⼗条⽤户管理员负责密码信封(含电⼦密码信封)的制作，负责建⽴信息系统的⽤户权限清单和特权⽤户清单，综合组统⼀保管和备案。

第⼗⼀条普通⽤户在授权范围内完成⾃⼰的⼯作，不得擅⾃将⽤户
名和密码转授他⼈使⽤，⼯作完成后应⽴即退出系统。

第⼗⼆条信息系统的主管部门应定期向使⽤部门提供相关⽤户权限清单，使⽤部门负责⼈应根据该清单核实⽤户权限分配情况并反馈给信息系统的主管部门。

第⼗三条信息系统的主管部门应定期对特权⽤户进⾏审查，确保特权⽤户的使⽤受到监督。

第⼗四条⽤户离岗时，必须办理离岗⼿续，申请回收或变更已经被授予的权限，⽤户管理员必须及时对权限进⾏变更或撤消。

第五章密码管理
第⼗五条⽤户必须设置密码，所有岗位⼈员只能掌握本⼈⼯作所需的密码，不得窥探其他⽤户的密码。

第⼗六条信息系统⽤户的密码长度应满⾜相应系统的安全要求，密码长度不得短于6位，密码的设置需科学、严密、合理，须混合使⽤字母、数字或特殊符号，不得使⽤缺省密码。

第⼗七条密码的存储应得到必要的保护。

纸质形式存储的密码应放到保险箱内，其使⽤应得到授权，并对使⽤情况进⾏记录；电⼦形式存储的密码，不得以明⽂⽅式存放，应采取加密等控制措施。

第⼗⼋条⽣产环境中的信息系统，其默认的密码必须被修改。

第⼗九条⽤户在得到⾃⼰的初始密码后，必须⽴即更改初始密码；
重要岗位⼈员变动交接时或发现密码泄漏时，必须⽴即更改密码，密码泄漏事件应⽴即报告所属部门信息安全员。

第⼆⼗条信息系统⽤户的密码必须定期修改，密码修改的期限不能超过3个⽉。

第⼆⼗⼀条由于未及时修改密码等原因导致账户被锁，⽤户需重新办理⽤户权限申请⼿续。

第六章访问控制
第⼆⼗⼆条⽤户必须在经科技发展部批准的指定区域内登录⽣产系统，登录时必须使⽤指定的设备。

第⼆⼗三条⽣产系统的远程访问需要实施严格的控制，特权⽤户不得通过远程访问登录⽣产系统。

第⼆⼗四条针对第三⽅必须进⾏的远程访问，应确保⽤于连接的物理线路在访问结束后及时断开。

第⼆⼗五条操作系统应设置⽤户的联机时间限制，确保长时间⽆响应的访问能够⾃动断开。

第⼆⼗六条各部门应该严格控制⽣产系统中系统⼯具的使⽤，对于可能超越系统和应⽤程序控制措施的系统⼯具使⽤，应有登记并由相关负责⼈审批。

第⼆⼗七条操作系统（含⽹络操作系统）应设置会话超时退出机制
及密码错误超限锁定机制。

第⼆⼗⼋条信息系统⽇志记录必须包含⽤户名称，访问时间和退出时间等必要信息。

第⼆⼗九条⽆⼈值守的设备必须采取屏幕保护、会话超时等措施进⾏保护，防⽌⾮授权访问。

第三⼗条⽤户在离开所操作的信息系统时，应退出登录状态。

第三⼗⼀条⽤户在科技发展部外部使⽤移动计算设备（如笔记本计算机）时，必须实施适当的保护措施，避免信息泄漏或设备失窃。

第七章附则
第三⼗⼆条本规定由科技发展部制定、修订和解释。

第三⼗三条本规定⾃发布之⽇起⽣效。

附件⼀：
修订记录。