信息系统访问控制管理规定

信息系统访问控制管理规定

第一章总则

第一条为加强科技发展部信息系统的访问管理，规范用户管理、密码管理及访问控制管理行为，特制定本规定。

第二条本规定适用于科技发展部负责运行维护的信息系统及其管理活动。

第二章组织和职责

第三条科技发展部风险管理组负责监督各部门在信息系统访问管理方面的工作。

第四条各部门安全组负责监督和检查本部门在信息系统访问管理方面的工作。

第五条各部门负责信息系统访问的日常管理，部门负责人负责本部门职责范围内的用户权限申请、变更、回收的审核工作，定期组织对本部门访问管理的自查。

第六条全体员工必须遵守本规定的要求，按需申请信息系统的访问权限，严格管理分配给本人的用户并定期修改密码，不越权访问未被授权访问的内容。

第三章基本原则

第七条信息系统访问管理遵循如下基本原则：

(一)隔离运行：对于不同重要程度的信息系统，应采取特定的隔离

措施，确保各类系统独立运行；

(二)权限最小：用户只应具有完成工作所需的访问权限；

(三)用户唯一：信息系统中的用户应该具有唯一性；

(四)按需授权：权限审批时应根据用户实际需要审批授权；

(五)职责分离：用户访问的请求、授权、管理应实现职责分离；

(六)默认拒绝：未经明确授权，一律视为禁止。

第四章用户管理

第八条用户对信息系统的访问和权限变更需要提出申请，用户所在部门的负责人对申请进行初审，信息系统的主管部门负责人进行复审，信息系统的用户管理员负责处理得到审批后的请求。

第九条用户管理员对本系统其他用户的权限进行管理和维护，不得私自增加、修改、撤销其他用户权限和密码。

第十条用户管理员负责密码信封(含电子密码信封)的制作，负责建立信息系统的用户权限清单和特权用户清单，综合组统一保管和备案。

第十一条普通用户在授权范围内完成自己的工作，不得擅自将用户

名和密码转授他人使用，工作完成后应立即退出系统。

第十二条信息系统的主管部门应定期向使用部门提供相关用户权限清单，使用部门负责人应根据该清单核实用户权限分配情况并反馈给信息系统的主管部门。

第十三条信息系统的主管部门应定期对特权用户进行审查，确保特权用户的使用受到监督。

第十四条用户离岗时，必须办理离岗手续，申请回收或变更已经被授予的权限，用户管理员必须及时对权限进行变更或撤消。

第五章密码管理

第十五条用户必须设置密码，所有岗位人员只能掌握本人工作所需的密码，不得窥探其他用户的密码。

第十六条信息系统用户的密码长度应满足相应系统的安全要求，密码长度不得短于6位，密码的设置需科学、严密、合理，须混合使用字母、数字或特殊符号，不得使用缺省密码。

第十七条密码的存储应得到必要的保护。纸质形式存储的密码应放到保险箱内，其使用应得到授权，并对使用情况进行记录；电子形式存储的密码，不得以明文方式存放，应采取加密等控制措施。

第十八条生产环境中的信息系统，其默认的密码必须被修改。

第十九条用户在得到自己的初始密码后，必须立即更改初始密码；

重要岗位人员变动交接时或发现密码泄漏时，必须立即更改密码，密码泄漏事件应立即报告所属部门信息安全员。

第二十条信息系统用户的密码必须定期修改，密码修改的期限不能超过3个月。

第二十一条由于未及时修改密码等原因导致账户被锁，用户需重新办理用户权限申请手续。

第六章访问控制

第二十二条用户必须在经科技发展部批准的指定区域内登录生产系统，登录时必须使用指定的设备。

第二十三条生产系统的远程访问需要实施严格的控制，特权用户不得通过远程访问登录生产系统。

第二十四条针对第三方必须进行的远程访问，应确保用于连接的物理线路在访问结束后及时断开。

第二十五条操作系统应设置用户的联机时间限制，确保长时间无响应的访问能够自动断开。

第二十六条各部门应该严格控制生产系统中系统工具的使用，对于可能超越系统和应用程序控制措施的系统工具使用，应有登记并由相关负责人审批。

第二十七条操作系统（含网络操作系统）应设置会话超时退出机制

及密码错误超限锁定机制。

第二十八条信息系统日志记录必须包含用户名称，访问时间和退出时间等必要信息。

第二十九条无人值守的设备必须采取屏幕保护、会话超时等措施进行保护，防止非授权访问。

第三十条用户在离开所操作的信息系统时，应退出登录状态。

第三十一条用户在科技发展部外部使用移动计算设备（如笔记本计算机）时，必须实施适当的保护措施，避免信息泄漏或设备失窃。

第七章附则

第三十二条本规定由科技发展部制定、修订和解释。

第三十三条本规定自发布之日起生效。

附件一：

修订记录