isms-2010信息系统访问管理程序.pdf

信息技术 -安全技术 -信息安全程序文件 深圳市首品精密模型有限公司 ISMS信息系统访问管理程序 文件编号 :ISMS-2010 编 制 审 核 批 准 1 / 6 信息技术 -安全技术 -信息安全程序文件 变更履历 版 本 编 号 简要说明 ( 变更内容、 序 或 更 改 记 变更位置、 变更原因和 变更日期 变更人 审核人 批准人 批准日期 号 录编号 变更范围 ) 1 A/0 初始发行 - - - - 2016-8-5 2 / 6 信息技术 -安全技术 -信息安全程序文件 1 目的 为规范信息部对各系统的访问控制，预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于 IT 核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 机房管理员负责中心机房的维护、运行及管理。 4.2 信息部其他人员配合机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由机房管理员对登录程序应进行检查确保登录程序满足如下要求： （a ）不显示系统或应用标识符，直到登录过程已成功完成为止； （b）在登录过程中，不提供对未授权用户有帮助作用的帮助消息； （c ）仅在所有输入数据完成时才验证登录信息。如果出现差错情况，系统不应指出数据的哪一 部分是正确的或不正确的； （d ）限制所允许的不成功登陆尝试的次数（推荐 3 次）并考虑： 1）使用策略或其他手段记录不成功的尝试； 3 / 6 信息技术 -安全技术 -信息安全程序文件 2 ）在允许进一步登录尝试之前，强加一次延迟，或在没有特定授权情况下拒绝任何进一 步的尝试； 3 ）断开数据链路链接； 4 ）如果达到登录的最大尝试次数，向系统控制台（或向机房管理员）发送警报消息； 5 ）结合口令的最小长度和被保护系统的价值（风险评估的结果或内部存储信息的价值） 设置口令重试的次数； （e）限制登录程序所允许的最大和最小次数。如果超时，则系统应终止登录； （f ）在成功登陆完成时，显示下列信息： 1）前一次成功登陆的日期和时间； 2）上次成功登陆之后的任何不成功登陆尝试的细节； （g）不显示输入的口令或考虑通过符号隐蔽口令字符； （h）不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2 登录程序满足上述要求后， 任何核心系统或外围系统的登录操作应被相关负责人授权方可进行 登录。 5.1.3 相关职能人员得到授权后， 对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销 当前用户将系统至于登录状态，防止未授权访问发生的可能。 5.1.4 其他部门人员因业务需要， 需登录信息部核心系统或外围系统时， 必须由中心机房管理人员全 程陪同。 5.2 用户身份标识和鉴别 5.2.1 信息部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、 专供个人 使用的用户 ID 及口令。 5.2.2 机房管理员对中心机房各系统建立用户 ID 身份鉴别策略， 以确保用户 ID 的任何活动都可以追 踪到各个责任人。常规业务操作不可以使用有