访问控制管理规范.pdfVIP

编号ISMS-2-AC-01

版本号V1.0

受控状态受控

信息级别一般

访问控制管理规范

版本记录

版本号版本日期修改审核批准修改履历

目录

第一章总则4

第二章口令管理规范4

第三章计算机安全管理规范6

第四章网络访问管理规范6

第五章应用系统访问管理规范7

第一章总则

为防止对公司相关资源的非授权访问，预防信息泄密等信息安全

事件的发生，特制定本办法。

本办法适用于公司各类信息系统的访问控制活动，包括计算机、

网络和信息系统的访问控制。

第二章口令管理规范

公司人员的计算机设备都需设置开机口令，口令设置应符合如

下安全要求：

一、口令不能为空；

二、口令长度不应少于8位字符；

三、口令强度需至少满足以下3种及以上的组合：

1.包含数字；

2.包含字母；

3.包含标点符号；

4.包含特殊字符（例如：_，-，%，，*，^，@等）；

5.包括大小写字符。

四、口令设置不得使用如下简单信息：

1.不应直接选择简单的字母和数字组合，或键盘顺序的口令，

像aaaa1111、1234abcd、qwertyui等；

2.不得使用个人相关信息（如姓名、生日）等容易猜出的口

令；

3.用户名不能作为口令的一部分。

五、对口令的日常维护和使用应遵守以下要求：

1.员工应了解进行有效访问控制的责任，特别是口令使用和

设备安全方面的责任；

2.员工应保证口令安全，不得向其他任何人泄漏或共享本机

口令。对于泄漏口令造成的损失，由员工本人负责；

3.口令应至少90天更改一次，更改后的口令不得再次使用旧

口令或循环使用旧口令；

4.避免在纸上记录口令，或以明文方式记录计算机内；

5.不要在任何自动登录程序中使用口令；

6.正在登录系统时，在屏幕上不得显示口令明文。

7.口令的分发和更新必须确保安全。口令通过公共网络传输

前，必须被加密。口令和用户ID必须被分开传输。

8.口令不允许被明文记录在脚本、软件代码、外部程序文件

中。

六、服务器登录口令的设置与维护管理，除满足上述第三条和

第四条要求之外，还应该考虑：

1.每台服务器设专门的服务器管理员来管理管理员帐号，其

他登录帐号由管理员来分配；

2.服务器管理员的设置原则上与应用系统和数据库的口令管

理员分开。

3.服务器口令的存储应得到必要的保护。

4.纸质形式存储的口令应放到保险箱内，其使用应得到授权，

并对使用情况进行记录；

5.电子形式存储的口令，不得以明文方式存放，应采取加密

等控制措施。

第三章计算机安全管理规范

公司计算机设备的访问控制管理要求如下：

一、所有公司的计算机应禁用操作系统中的Guest帐号。

二、每台使用中的计算机均须设置屏幕保护，至多15分钟内无

操作时自动锁屏，屏保解锁需设置解锁口令。

三、人员离开座位时应主动锁屏（按Win+L”组合键）。

四、使用中的每台计算机均须安装防病毒软件，同时应开启防

病毒软件的自动更新功能，更新频率设置不长于每3天更新1

次。

五、应开启杀毒软件的自动扫描功能，定期（至少每周1次）扫

描注册表/核心系统进程以查找病毒和木马。

六、公司员工配备的标准计算机中只能安装《标准软件清单》

中规定的软件。

七、严禁公司人员未经授