信息安全策略-特权访问管理策略.doc

密级等级：敏感 受控状态：受控 文件编号： XX_A_04_19_2009.12 特 权 访 问 管 理 策 略 Ver 1.0 2009年12月30日历史版本编制、审核、批准、发布实施、分发信息记录表 版本号 编制人/ 创建日期 审核人/ 审核日期 批准人/ 批准日期 发布日期/ 实施日期 分发编号 V1.0 2009/12/30 2010/1/4 原稿 / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / 文件更改记录 序号 更改单号 页次 更改人 日期 更 改 摘 要 1 2 3 4 5 6 7 8 9 10 本标准XX_A_04_19_2009.12 本标准依据ISO/IEC 27001：2005信息安全管理体系-要求编写。 本标准由XXXX有限公司提出起草 本标准主要起草人： 本标准于2009年12月30日首次发布2009年12月30日XX_A_04_19_2009.12 介绍 与普通用户相比，技术支持人员、安全管理员、系统管理员可能有特殊的访问账户权限要求。这些管理性的和特殊访问账户的访问等级比较高 ，因此对这些账户的批准、控制和监控对于整个安全程序极其重要。 目 的 该策略的目的是为具有特殊访问权限的账号建立创建、使用、控制及其删除的规则。 适用范围 该策略适用于拥有、或者可能会需要信息资源特殊访问权限的所有人员。 术语定义 略 特权 访问 管理 策略 在所有用户获得访问账号前，应签署一份不泄密协议； 所有管理性的 / 特殊访问账户的用户必须接受培训并获得授权； 每一个使用管理性的 / 特殊访问账号的个人都必须避免滥用权力，并且必须在总经理室的指导下使用； 每一个使用管理性的 / 特殊访问账号的个人必须以最适宜所执行的工作的方式行使账号权力 ； 每一个管理性的 / 特殊访问账户必须满足口令策略的要求； 共有的管理性的 / 特殊访问账号的口令在人员离职或发生变更时必须更改； 当因内外部审核、软件开发、软件安装或其他规定需求而需要特殊访问账号时，账号： 必须被授权； 创建的日期期限必须明确； 工作结束时必须删除。 惩罚 违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外， 这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。 引用标准 略 XXXX有限公司 XXXX_A_04_19_2009.12 特权访问管理策略 第 2 页 共 4 页 XXXX有限公司