《访问控制程序.docx》由会员分享,可在线阅读,更多相关《访问控制程序.docx(3页珍藏版)》请在课桌文档上搜索。
1、访问控制程序文件编号:1 .目的制定网安公司所有服务器、数据库、应用系统、网络等信息系统的访问控制原则和方法,保证实施的访问控制策略充分有效。2 .范围网安公司的所有信息和信息系统。3 .职责1 信息技术治理委员会对本程序进行定期复审,根据业务需要修订本策略。2 信息技术部遵照本程序要求,实施控制。3 所有员工遵守本程序要求。4 .内容4.1 根本原则访问控制的根本原则是没有明确允许的一律禁止访问。访问控制的规则要符合网安公司信息安全方针的要求。4.2 访问控制策略申请4.2.1 所有系统访问权限应基于“需要知道”原则分配最小权限。最小权限原则是所有系统访问许可默认设置为除非得到特定允许,否则
2、访问被禁止。4.2.2 系统管理人员根据业务需要,制定访问控制策略,填写访问控制策略申请表,交给相应管理层审批。4.3 访问控制策略审批4.3.1 管理层确认访问控制策略是完全正确的,批准访问控制策略申请表。4.3.2 管理层如对访问控制策略有异议,提出建议,退回申请人重新制定。4.4 访问控制策略实施4.4.1 访问控制策略得到批准后,在实施之前,管理人员首先将系统目前的访问控制策略备份至独立的系统。4.4.2 管理人员尽量在不影响业务运作的基础上,选择适当的时间部署新的访问控制策略,并观察新策略实施后对业务的影响。4.4.3 所有的访问策略变更,应依照变更管理程序执行,所有策略都有书面或电子记录,并妥善保管4.5 访问控制策略复审4.5.1 系统管理人员每隔6个月一次评审访问控制策略的充分性和有效性,对于控制不足的策略应重新修订、重新部署。4.6 访问控制策略注销4.6.1 如果业务提出新的要求或目前访问控制策略不符合业务发展需要,管理人员应调整访问控制策略,注销目前不适用的策略。4.6.3 访问控制策略注销之前,管理人员首先将系统目前的访问控制策略备份至独立的系统,并记录、存档。5 .附件及相关文档访问控制策略申请表变更管理程序
