用户访问控制管理规定1 目的为了明确用户访问控制管理的职责权限、内容和方法要求,特制定本规定。2 适用范围本规定适用于信息安全管理体系涉及的所有人员(含组织管理人员、普通员工、第三方人员,以下简称“全体员工” )3 术语和定义4 职责4.1IT 部门a)是本规定的归口管理部门;b)负责本规定的修订、解释和说明及协调实施工作。4.2 信息安全进行本规定修订及实施的协调工作4.3 相关部门贯彻执行本规定的相关规定。4。4 部门管理者a)各部门管理者作为本部门重要信息资产的负责人承担对资产的管理责任;b)决定本部门是否要单独制定访问控制方案.4.5IT 负责人a)负责制定和修改组织的访问控制方案,并使它在资产使用的范围内得到切实的执行;b)指导 IT 责任人的工作,并在必要时进行协调。c)有权指定系统管理员4.6IT 责任人a)具体制定和修改组织的访问控制方案,提交 IT 方案负责审核;b)指导部门 IT 责任人实施访问控制方案;c)对访问控制方案的进行定期评审,并提出修改意见。d)委托系统管理员依照 IT 部门制定的措施规定进行具体实施和具体操作等.但即使在这种情况下,访问控制方案实施状况的最终责任,仍然由 IT 责任人承担。4。7 部门 IT 责任人a)假如本部门需单独制定访问控制方案,在部门管理者的授权下制定和修改本部门的访问控制方案,并使它在资产使用的范围内得到切实的执行;b)在 IT 责任人的指导下,实施访问控制方案。c)针对访问控制方案向 IT 责任人进行问题反馈和提出改善意见。4。8 系统管理员对于来自 IT 责任人委托的措施和相关操作,担负着切实履行的责任。5 管理要求5.1 用户认证组织主要系统,包含组织重要信息的计算机、网络、系统等信息资产的访问控制方案,必须满足《用户标识与口令管理指南》的规定。5。1.1 用户标识控制相关信息资产责任人所在部门 IT 责任人为了实现个人认证,需要实行以下措施,部门 IT 责任人必须管理从用户注册、数据更新到数据删除的用户标识和整个周期,并必须保证它们在上述信息资产使用范围内得到切实的落实。具体控制包括:5。1.1.1 用户注册分派的流程a)用户或代理人提交用户标识的申请b)部门 IT 责任人核实该用户的身份c)部门管理者审批d)用户提交到 IT 责任人e)IT 责任人委托信息系统管理员实施注册f)系统管理员向用户分派用户标识。5。1.1。2 用户标识分派的注意事项a)部门 IT 责任人必须针对每个人发放各自不贩用户标识b)禁止发放共享...
