QEP 程序文件Visit To User Of Management Procedure 用户访问管理程序DOC NO 文件编号QEP-XXX REV 版本APAGE 页码1 of 4 FP001-05C 1. 目的本标准规定了本公司(含各分/ 子公司)逻辑访问的管理。2. 范围本标准适用操作作系统、数据库、各应用系统的逻辑访问,物理访问按《安全区域管理程序》进行。3. 定义(无)4. 职责和权限4.1 IT部:负责企业网、互联网访问权限的分配、审批,以及信息系统的服务器操作系统用户、数据库用户、应用管理员用户的开通。4.2 其他部门:各部门根据实际需要通过OA系统流程,向IT 部提交账号及访问权限的申请,并协助IT 部对用户账号及权限进行定期复查。5. 作业内容5.1 访问控制策略5.1.1 本公司内部可公开的信息不作特别限定,允许所有用户访问。5.1.2 本公司内部部分公开信息,经访问授权管理部门认可,访问授权实施部门实施后用户方可访问。5.1.3 用户不得访问或尝试访问未经授权的网络、系统、文件和服务。5.1.4远程用户应该通过本公司批准的连接方式。5.1.5用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点( 包括软件和硬件) 等。5.1.6用户不得私自撤除或更换网络设备。5.1.7应限制对系统实用程序的使用。1) 系统实用工具程序仅控制限于「特权帐户」使用;2) 将系统实用工具和应用软件分开;3) 限制系统实用工具的可用性,例如,在授权变更的时间内;实用工具程序仅控制限于「特权帐户」使用。「特权帐户」 例如:主机系统的管理员, Windows系统的 Adminisrator,数据库软件例如Oracle 的 system 、DBA,或者路由器、交换机的“enable ” 口令,都可以作改变配置、安装软件、不受一般系统安全的限制;4) 系统实用工具程序应安装在单独的地方,其访问限制权与其它应用程序区分开。5.2 用户访问管理5.2.1 权限申请1)所有用户,包括第三方人员均需要履行访问授权手续(针对信息系统审核的访问也应提前申请)。授权流程如下:申请部门申请: 申请部门根据业务及管理工作的需要,确定需要访问的系统、访问权限和需要申请的项目,QEP 程序文件Visit To User Of Management Procedure 用户访问管理程序DOC NO 文件编号QEP-XXX REV 版本APAGE 页码2 of 4 FP001-05C 在 OA中 IT部的工作流程单中,对应的项目(账号或资源权限等)中填写申请内容进行申请。2) OA 工作流程单应对以下内容予以明确:a) 权限申请人员;b) 访...
