ISO27001-用户访问控制程序

用户访问控制程序（依据ISO27001标准）
1. 目的
为明确公司信息系统的访问控制准则，确保访问控制措施有效，特制定本程序。

2. 范围
本程序适用操作系统、数据库、各应用系统的逻辑访问控制，物理访问按《安全区域控制程序》进行控制。

3. 职责与权限
3.1 技术部
负责公司信息系统相关访问权限的分配、审批，以及帐号口令管理。

3.2 其他部门
各部门根据实际需要向技术部提交账号及访问权限的申请，协助技术部人员对用户账号及权限进行定期复查。

4. 相关文件
a)《计算机管理程序》
5. 术语定义
无
6. 控制程序
6.1 访问控制策略
6.1.1 本公司目前的网络服务主要有互联网上网服务，供内部员工进
行日常办公。

6.1.2 公司办公电脑仅能通过有线网络线缆接入公司网络，无线网络
仅供经过公司授权的人员使用。

6.1.3 用户不得访问或尝试访问未经授权的网络、系统、文件和服务。

6.1.4 外部来访人员需要使用公司网络服务必须经过相关负责人同
意，才能授权其使用。

不得将访问密码随意告知不必要的人员。

6.1.5外部来访人员需要使用公司无线网络时应经过公司授权并登记
后，无线网络管理人员应代为输入访问密码，不得直接告知密码，确保无线访问密码的安全。

6.1.6外部人员离开时应及时收回其访问权限，并根据情况及时修改
原来的访问密码。

6.1.7用户不得以任何方式私自安装路由器、交换机、代理服务器、
无线网络访问点(包括软件和硬件)等。

6.1.8 用户不得私自撤除或更换网络设备。

6.1.9公司内部网络及系统的维护一般采用现场维护，如确有需要使
用远程方式维护，应确保有相应的身份验证（如登录密码）等安全保护措施，远程维护完毕应及时关闭远程维护端口。

6.1.10公司员工在不必要的情况下尽量不要使用文件共享，一定要使
用共享文件时，应对共享文件进行加密保护，并及时通知需要获取共享信息的人员，还应及时撤消文件共享。

6.1.11根据公司实际情况及安全需要，可考虑将自动设备鉴别作为一
种证明从特定位置和设备进行连接的手段，如IP地址对应计算机名。

6.1.12非网络系统管理人员不得使用系统实用程序（系统工具），防
止对系统造成破坏。

6.1.13对于重要的应用（如财务系统）可考虑采取适当的连接时间限
制和访问控制，在不经常使用时停止应用系统或关闭设备。

6.1.14对于信息系统审计工具（如漏洞扫描工具等）的访问及使用应
加以限制及保护，禁止任何可能的滥用或误用，防止对公司信息系统带来损害。

6.2 用户访问管理
6.2.1 权限申请
6.2.1.1所有用户，包括第三方人员均需要履行访问授权手续。

授权流程如下：
a) 申请部门申请：申请部门根据业务及管理工作的需要，确定需要访问的系统和访问权限，经过本部门领导同意后，向技术部提交“用户授权申请表”。

b)经技术部负责人审核后，将“用户授权申请表”交访问授权实施人员（如技术部网管人员）实施。

c) 访问授权实施人员实施授权。

6.2.1.2“用户授权申请表”应对以下内容予以明确：
a) 权限申请人员；
b) 访问权限的级别和范围；
c) 申请理由；
d) 有效期。

6.2.2权限变更
6.2.2.1对发生以下情况对其访问权应从系统中予以注销：
a) 内部用户雇佣合同终止时；
b) 内部用户因岗位调整不再需要此项访问服务时；
c) 第三方访问合同终止时；
d) 其它情况必须注销时。

6.2.2.2由于用户变换岗位等原因造成访问权限变更时，用户应重新填写“用户授权申请表”，按照本标准6.2.1的要求履行授权手续。

6.2.2.3用人部门应将人事变动情况及时通知技术部，访问授权实施人员（如网管人员）应及时收回其帐号和权限。

6.2.2.4特权用户因故暂时不能履行特权职责时，根据需要可以经授权部门领导批准后，将特权临时转交可靠人员；特权用户返回工作岗位时，收回临时特权人员的特权。

6.2.3 用户访问权的维护和评审
6.2.3.1对于任何权限的改变(包括权限的创建、变更以及注销)，访问
授权实施人员应进行记录，填写“用户授权申请表”包括：
a) 权限开放/变更/注销时间；
b) 变化后权限内容；
c) 开放权限的管理员。

6.2.3.2授权管理部门每半年应对访问权限进行检查，发现不恰当的
权限设置，应通知访问授权实施人员予以调整或注销。

6.2.3.3授权管理部门应对访问权限的检查结果予以记录。

6.3 用户口令管理
6.3.1各系统访问授权实施人员应按以下过程对被授权访问该系统的
用户口令予以分配：
a) 在生成帐号时，系统管理员应该分配给合法用户一个唯一的安全
临时口令，并通过安全渠道传递给用户，并要求用户在第一次登录时更改临时口令；
b) 当用户忘记口令时，系统管理员在获得用户的确认后可以为其重
新分配口令。

6.3.2 口令策略
所有计算机用户在使用口令时应遵循以下原则：
a) 所有活动帐号都必须有口令保护。

b) 所有系统初始默认口令必须更改。

c) 口令输入时不应将口令的明文显示出来，应该采取掩盖措施。

d) 口令必须至少要含有6个字符。

e) 口令不能和用户名或登录名相同。

f) 口令不能是字典中能够找到的词。

g) 口令不能采用姓名、电话号码、生日等容易猜测的口令，不得用
连续的数字或字母群。

h) 口令必须是保密的，不能共享、含在程序中或写在纸上。

i) 口令不能通过明文电子邮件传输。

j) 口令不能通过语音或移动电话告知。

k) 口令不能以明文形式保存在任何电子介质中。

l) 口令不能在工作组中共享以保证可以通过用户名追查到具体责任人。

m) 用户应该在不同的系统中使用不同的口令。

n) 可以在PGP或强度相当的加密措施的保护下将口令存放在电子文件中。

o) 任何时候有迹象表明系统或口令可能受到损害，就要更换口令。

p) 一般用户口令至少一年变更一次，特权用户口令至少每半年变更一次；对于用户口令的变更会影响应用程序运行的情况，该用户的口令可以在适当的时机予以变更。

6.4 第三方访问
6.4.1第三方访问是指本公司以外其他组织/人员对本公司的信息系
统的逻辑访问。

6.4.2第三方访问包括网络访问、操作系统访问、数据库访问、信息
系统访问。

6.4.3第三方访问前各责任部门要对第三方访问可能导致的风险进行
评估，采取适当的控制措施（如：授权、签署保密协议等），维护被第三方访问的本公司信息处理设施和信息资产的安全。

6.4.4 第三方授权的方式包括签订协议和临时访问授权两种方式。

6.4.4.1与本公司建立长期业务合作关系，需要经常在公司内工作的
第三方及长期逻辑访问本公司信息系统的第三方，应与其签订安全条款或保密协议；规定其在公司内活动的场所范围，时间和人员资格的要求，
以及违反安全规定协议须承担的法律赔偿责任等，必要时对其工作人员进行资格审查。

6.4.4.2 如果属于临时参观学习或业务工作需要的第三方访问采用临
时授权方式。

6.4.5第三方访问的授权
6.4.5.1第三方在访问本公司网络、操作系统、数据库、信息系统时
需要书面授权。

6.4.5.2授权权限的规定：
a) 访问敏感信息须经对应部门负责人及公司领导批准授权；
b) 所有的逻辑访问均需技术部负责人审核，报公司领导批准授权后
方可进行；
c) 第三方人员在工作完成后立即收回。

6.4.5.3授权程序
a) 第三方访问前，如第三方需要申请帐号，访问接待部门应填写“第
三方访问申请/授权表”，办理相关授权批准手续；
b) “第三方访问申请/授权表”上应明确规定访问的类型、时间、权
限。

7 附件、记录
7.1 《用户授权申请表》
7.2 《第三方访问申请/授权表》
7.3 《用户账号权限复查表》。