访问控制策略V1.0

北京华胜天成科技股份有限公司

管理体系文件Array

2009年03月01日发布2009年03月01日生效

目录

1 目的 (1)

2 适用范围 (1)

3 术语表 (1)

4 访问控制方针 (1)

4.1 通用方针 (1)

4.2 网络访问控制 (2)

4.2.1 网络区域划分 (2)

4.2.2 网络区域隔离 (2)

4.3 身份授予与鉴别 (2)

4.3.1 账户管理 (2)

4.4 外部信息交换控制 (3)

4.4.1 公开信息披露 (3)

4.4.2 外部信息交换 (3)

5 相关过程、模板、指导、检查表 (3)

1目的

访问控制方针旨在基于华胜天成的业务需求，为信息资产的访问控制制定方针原则。各信息安全控制措施的选择和实施，以及信息安全管理规定的编写，应依据本方针进行。

2适用范围

本方针适用于华胜天成信息安全管理体系范围内的各类型访问控制，包括但不限于：

信息资产访问控制；

权限及密码管理；

网络访问控制；

物理安全访问控制；

应用系统访问控制等。

3术语表

4访问控制方针

访问控制应依据以下两个原则进行：

最小授权原则

当没有明确授予访问权限时，应为禁止访问。

应仅对用户授予他们开展业务活动所必需的访问权限。

需要时获取

访问权限应仅当使用者必须要访问信息时授予。

4.1 通用方针

信息安全的访问控制，应基于分级的原则。在不同级别之间，应设置访问控制措施；

访问控制角色应进行分离，包括如下角色：

✓访问请求

✓访问授权

✓访问管理

✓访问控制审计；

访问控制应包括如下管理过程：

✓访问控制措施的部署；

✓访问控制权限的申请、审批及授予

✓访问控制权限的回顾及审计

✓访问控制权限的撤销

应对公司内部访问以上级别的信息资产设置访问控制措施；

工作职责范围内的对本部门机密以及内部访问级别的信息资产的访问，不需要特别申请访问权限；

工作职责范围外对任何机密级别的信息资产的访问，需要有信息资产所有者以及信息访问者所在部门直接主管的共同授权；

工作职责范围外对任何内部访问级别的信息资产的访问，需要有信息资产所有者的审批；

对绝密级别的信息资产的访问，需要有信息资产所有者以及信息访问者所在事业部的总经理的共同明确授权；由资产所有者维护访问清单及授权记录，并负责至少三个月按照访问

清单对实际访问权限进行回顾；

访问控制的执行状况，应该由信息安全流程经理组织访问控制权限的审计活动；应基于信息安全事件的发生频率和影响，以及信息资产的等级设定审计的频率；

对物理环境的访问控制，参照《物理环境管理规范》执行；

对信息资产的访问控制，参照《信息资产管理规范》

4.2 网络访问控制

网络区域划分与隔离是进行访问控制的基础，目的是确认并管理企业网络内部边界和外部边界，使各个区域之间相互独立，保证各个区域间的影响最小化。以下为网络访问控制的

4.2.1网络区域划分

华胜天成所有网络区域应根据其支撑的业务和业务的安全需求进行划分，对于安全需求比较高的敏感区域应进行识别，明确每个区域与其它区域的边界以及企业内部与外部区域的边界。华胜天成网络区域包括但不限于：

✓公司普通办公网络区域；

✓财务、人事敏感办公网络区域；

✓公司分支机构网络区域；

✓企业软件开发、测试网络环境。

4.2.2网络区域隔离

应根据业务需求对网络区域之间采用不同的手段进行隔离，对于敏感网络区域的边界必须采用足够的技术手段进行防护。华胜天成敏感区域边界包括但不限于：

✓敏感办公区域与普通办公区域的网络边界；

✓企业内部网络与Internet网络边界；

✓企业内部网络区域与分支机构之间的网络边界；

✓软件开发、测试环境与企业生产系统的网络边界。

4.3 身份授予与鉴别

身份授予与鉴别是对访问企业资源的用户赋予身份并在用户访问资源时进行身份鉴别，目的是保证访问网络系统资源的用户是合法的。关于身份授予与鉴别政策定义如下：

4.3.1账户管理

应基于不同业务的需求对访问华胜天成资源的用户分别建立用户账户的授予与撤销的管理措施和执行过程。

授予用户的身份应是唯一的，即一个用户账户唯一地对应一个用户，不允许多人共享一个账户。

对任何用户的登录应进行身份鉴别。身份鉴别的方法应根据用户所处环境的风险确定。

对重要资源的访问保证有足够的口令强度和防攻击能力，用户必须使用符合安全要求的口令，并妥善保护口令。

信息系统的所有者应维护特权账户的清单和对应使用人员，并至少每三个月对特权帐号进行回顾。

4.4 外部信息交换控制

外部信息交换控制政策是防止在与外部进行信息交换不受控，从而造成华胜天成公司的敏感信息泄漏或被篡改。由于华胜天成是上市公司，任何公开信息的披露，应遵循严格的审批和授权过程。

4.4.1公开信息披露

未经允许，不得将任何公司“内部”及其上级别的信息披露给公司外部人员；

公开信息仅应通过获得授权的部门对外披露；

4.4.2外部信息交换

严禁将“绝密”及其上级别的信息传递给第三方；

若需将“机密”信息与第三方共享，应获得信息所需部门二级经理以及资产所有者的审批。

传递信息前，必须与第三方签订保密协议。

在信息交换过程中，应采取适当的控制措施，保证信息的保密性、完整性不被破坏。

5相关过程、模板、指导、检查表

1)《账号口令安全管理规定》

2)《门禁系统安全管理规定》

3)《信息交换安全策略》