用户访问管理程序2019 年 01 月 10 日广东***技术股份有限公司内部资料版权所有未经允许不得抄印密级等级:受控状态文件编号机密受控HW变更履历1 目的为对本组织各种应用系统的用户访问权限(包括特权用户及相关方用户)实施有效控制,杜绝非法访问,确保系统和信息的安全,特制定本程序。2 范围本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。3 职责各部门负责访问权限的申请、审批。研发中心负责访问控制的技术管理以及访问权限控制和实施。行政中心负责外来人员物理访问控制。负责向各部门通知人事变动情况。4 相关文件《信息安全管理手册》《口令策略》5 程序访问控制策略组织内的信息根机密感等级,分别向不同职位的员工公开。a)组织的宣传文件、制度、培训材料、参考文献可向全体员工公开;b) 人事信息只对人力资源部开放;c) 财务信息只对财务部开放;d) 研发信息只对研发人员开发;e) 业务信息只在相关业务人员间公开。研发中心人员根据不同类别的信息,设置其访问权限。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。各系统信息安全管理小组应编制《系统访问权限说明书》,明确规定访问规则。用户访问管理权限申请所有员工用户,包括相关方人员均需要履行访问授权手续。申请部门根据业务、管理工作的需要,确定需要访问的系统和访问权限,经过本部门经理同意后,向信息安全管理小组提交《用户访问授权申请表》,信息安全管理小组在《用户访问授权登记表》上登记。《用户访问授权申请表》应对以下内容予以明确:a) 权限申请人员;b) 访问权限的级别和范围;c) 申请理由;d) 有效期。经部门主管审核批准后,研发中心将根据《用户访问授权申请表》实施授权。相关方和第三方服务人员的访问申请由负责接待的部门按照上述要求予以办理。但相关方和第三方服务人员不允许成为特权用户。必要时,相关方人员需与访问接待部门签订《相关方保密协议》或《第三方服务保密协议。》特殊权限的管理对于信息处理设施(硬件、软件和物理区域)的特殊权限应尽力控制在最小的范围内,对特殊权限的授权应有填写《特殊权限授权书》,经总经理批准后方可实施。权限变更对发生以下情况对其访问权应从系统中予以注销:a) 内部用户雇佣合同终止时;b) 内部用户因岗位调整不再需要此项访问服务时;c) 相关方访问合同终止时;d) 其它情况必须注销时。由于用户变换岗位等原因造成访问权限变更时,用户应重新填写《用户访问...
