35远程访问控制程序.doc

文档编号：XXXX-IT/ISMS-B-35

XXXX有限公司

IT/ISMS程序文件

远程访问控制程序

拟制

编制小组

审核

XXX

批准

XXX

日期

2023-01-10

日期

2023-01-10

日期

2023-01-10

修订记录

日期

版本

修订内容概要

拟制

审核

批准

2023-01-10

A/0

首次发布

编制小组

XXX

XXX

XXXX有限公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。

目录

TOC\o1-2\h\z\u3411目录 2

207041目的 3

266662范围 3

34373职责 3

269934相关文件 3

26745远程访问内部网络管理 3

325006远程访问客户环境管理 4

304117记录 5

1目的

为明确组织IT系统安全要求，防止非授权用户对组织业务设备的远程访问、损坏和干扰；防止非授权用户访问客户环境，对客户系统造成影响，有效保障组织和客户的工作稳定，特制订本程序。

2范围

本程序适用于远程用户访问公司内部网络的管理和远程访问客户生产环境的管理。

3职责

3.1综合部

负责组织IT系统远程用户访问公司内部网络控制监管工作。

负责对远程用户访问需求进行审核和控制。

负责对非授权访问事件进行调查和处理。

负责组织公司内部人员访问客户生产环境的控制监管工作

负责对内部人员访问客户生产环境的审核和控制

负责对非授权访问事件进行调查和处理

3.3其他部门

负责本部门IT设备的访问控制和管理工作。

负责本部门远程访问客户环境事件的管理工作。

4相关文件

《信息安全及信息技术服务管理手册》

《安全区域管理程序》

《访问控制策略》

5远程访问内部网络管理

5.1访问控制策略

组织内人员因紧急任务需远程用户登录访问组织内部IT设备可提出申请，审评通过后可获得远程登录授权。

授权仅限于申请人本人使用，禁止向申请人外其他任何人透露授权信息。

授权最长有效期为7天，到期后必须及时删除授权信息。

远程用户访问必须采用隧道加密技术保障安全，禁止任何人以任何其他形式开放远程用户访问权限。

5.2用户访问管理

5.2.1授权申请

远程用户访问授权仅限组织内部职员申请，申请部门根据业务、管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，向相关部门系统管理人员提交《远程用户访问授权登记表》，负责部门相关人员在《远程用户访问授权登记表》上登记。

《远程用户访问授权登记表》应对以下内容予以明确:

权限申请人员；

访问范围；

申请理由；

有效期。

申请通过后申请人可获得VPN登录组织内部网络的授权。如需要获得内部服务器登录授权请参照《用户访问管理程序》申请。

5.2.2权限变更

对发生以下情况对其访问权应从系统中予以注销：

内部用户雇佣合同终止时；

内部用户因岗位调整不再需要此项访问服务时；

相关方访问合同终止时；

其它情况必须注销时。

如果是公司有离职人员，按照综合部提交的离职交接单，相关部门需要按照系统访问权限说明书，取消相应的用户权限。

5.3授权用户口令管理

各部门管理员应按以下过程对被授权访问该系统的用户口令予以分配：

分配给用户一个安全口令，并通过安全渠道传递给用户；

当用户忘记口令时，系统管理员在获得用户的确认后可以为其重新分配口令。

所有用户在选择与使用口令时应严格遵组织的《口令控制策略》。

6远程访问客户环境管理

6.1访问控制策略

组织内人员因工作任务需远程用户登录访问客户环境可提出申请，审评通过后可获得远程登录授权。

授权仅限于申请人本人使用，禁止向申请人外其他任何人透露授权信息。

授权人员可使用，每次登录之前，需要获得客户许可后方可登录。

用户不能看到客户登录的帐号和密码，必须通过公司专用的拨号管理程序才能登录客户环境。

登录后系统会自动记录登录人员的信息和登录时间。

6.2用户访问管理

6.2.1授权申请

远程访问客户环境授权仅限组织内部职员申请，申请部门根据业务、管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，负责部门相关人员登记。

应对以下内容予以明确:

权限申请人员；

访问范围；

申请理由；

有效期。

申请通过后申请人可获得拨号管理程序登录客户环境的授权。如需要获得内部服务器登录授权请参照《用户访问管理程序》申请。

5.2.2权限变更

对发生以下情况对其访问权应从系统中予以注销：

内部用户雇佣合同终止时；

内部用户因岗位调整不再需要此项访问服务时；

相关方访问合同终止时；

其它情况必须注销时。

如果是公司有离职人