用户访问控制管理规定

用户访问控制管理规定目的为了明确用户访问控制管理的职责权限、内容和方法要求，特制定本规定。适用范围本规定适用于信息安全管理体系涉及的所有人员 （含组织管理人员、 普通员工、 第三方人员，以下简称“全体

用户访问控制管理规定 1 目的 为了明确用户访问控制管理的职责权限、内容和方法要求，特制定本规定。 2 适用范围 本规定适用于信息安全管理体系涉及的所有人员（含组织管理人员、普通员工、 第三方人员，以下简称“全体员工” ） 3 术语和定义 4 职责 4.1IT 部门 a) 是本规定的归口管理部门； b) 负责本规定的修订、解释和说明及协调实施工作。 4.2 信息安全 进行本规定修订及实施的协调工作 4.3 相关部门 贯彻执行本规定的相关规定。 4.4 部门管理者 a) 各部门管理者作为本部门重要信息资产的负责人承担对资产的管理责 b) 任；决定本部门是否要单独制定访问控制方案。 4.5IT 负责人 a) 负责制定和修改组织的访问控制方案，并使它在资产使用的范围内得到切实的执 b) IT 行；指导责任人的工作，并在必要时进行协调。 c) 有权指定系统管理员 4.6IT 责任人 案负责审核； IT a) 具体制定和修改组织的访问控制方案，提交 方 b) IT 指导部门责任人实施访问控制方案； c) 对访问控制方案的进行定期评审，并提出修改意见。 d) IT 委托系统管理员依照部门制定的措施规定进行具体实施和具体操作等。但即使在这种情况下，访问控制方案实施状 IT 况的最终责任，仍然由责任人承担。 4.7 IT 部门责任人 并使它在资产使用 a) 如果本部门需单独制定访问控制方案，在部门管理者的授权下制定和修改本部门的访问控制方案， 的范围内得到切实的执行； b) IT 在责任人的指导下，实施访问控制方案。 c) 针对访问控制方案向 I T 责 任 人 进 行 问 题 反 馈 和 提 出 改 善 意 见 。 4.8 系统管理员 IT 对于来自责任人委托的措施和相关操作，担负着切实履行的责任。 5 管理要求 5.1 用户认证 组织主要系统，包含组织重要信息的计算机、网络、系统等信息资产的访问控制方案，必须满足《用户标识与口令管 理指南》的规定。 5.1.1 用户标识控制 IT 相关信息资产责任人所在部门责任人为了实现个人认证，需要采取以下措施，部门 I T 责 任 人 必 须 管 理 从 用 户 注 册 、 数据更新到数据删除的用户标识和整个周期，并必须保证它们在上述信息资产使用范围内得到切实的落实。具体控制 包括： 5.1.1.1 用户注册分派的流程 a) 用户或代理人提交用户标识的申请 b) IT 部门责任人核实该用户的身份 c) 部门管理者审批 d)IT 用户提交到责任人 e)IT 责任人委托信息系统管理员实施注册 f) 系统管理员向用户分派用户标识。 5.1.1.2 用户标识分派的注意事项