文档介绍:XXX用户访问和密码管理规范
适应于:
XXX所有员工、外来访问人员、供应商
版本号:
生效日期:
编制:
更改日期:
审核:
发起H期:
制度变更历史纪录
概要:
透明的、全面的、有效的和可以审计的用户身份管理流程是确保信息保密件、完整 性和可用性的先决条件。通过本规范去保护并阻止企业信息被内部或外部人员无意识的 揭露、变更、删除和错用。
本规范是用户访问管理制度中提到的用户访问管理内容的详细的要求保证,是一系 列实施步骤地描述:
唯一的用户身份
帐号和访问权限的提供和取消流程
基本访问角色的管理和使用
特殊的访问权限授权和约束
监控
密码管理方法
目录
用户注册
分配访问
访问条件
密码管理
密码的复杂性和变更
密码的保密性
密码初始化
忘记密码或帐号被锁
访问用户数据或帐号
密码管理追溯
密码抑制
单点登陆
强认证
角色和职责
监督者
系统管理员
1. 0目标
信息安全的目标是保护计算机信息和资源的保密性、完整性和可用性。达到 这个目标的一种方式就是实施鉴定、证明和授权的理念。鉴定通常是指唯一的用 户标识符,当一个用户访问计算机系统时,根据他的行为而被给予相应的职责。 证明是指证明拥有这个访问账号的人是真实存在的。一个或多个授权被定义,并 给予用户在系统中执行任务的权利。
作为XXX信息安全制度框架中的一部分,这个规范将帮助建立并维护信息安 全制度。保护信息系统免受非法的访问,并定义规则去管理用户访问和密码管理。
XXX所有IT系统及IT基础架构应用。
用户访问管理必须被建立以防止未授权的和不合适的信息系统访问。管理 的过程必须覆盖用户访问过程的所有阶段:
新用户的初始注册;
由于工作或职责的变更而改变用户的权限;
用户不再需要访问信息系统和服务时,需要删除用户的权限。
用户访问管理由下面内容组成:
用户类型包括:雇员、第三方人员、临时员工和其他标准(例如业务角色, 其需要管理员访问权限,需要远程访问的人),由于工作职责需要访问指定信息 的所有用户。
针对用户账号分配恰当的访问权限,特别基于预先预定的角色。在能满足用 户特定工作需要的同时,仅分配最小级别的权限给用户。
对管理员的管理和执行提供了权限的保证性和跟踪性。
单一的身份管理是一种建议被考虑的方法。当执行用户访问管理流程时,单 一的身份管理能够通过存储每个用户身份信息在同一个目录而提高授权流程效 率。用户管理能够通过企业服务目录实现。
下面小节详细的描述了用户访问管理组件。
用户注册
标准用户通过相应申请流程进行注册。对IT系统、应用程序和IT基础设施 组件的授权必须恰当,有些访问(如局域网或电子邮箱账号)可以被分配给每 个员工,有些访问(如ERP)根据需要授权访问。公司员工在请求访问之前, 需要了解用户注册和申请流程。
永久或临时访问请求过程与标准用户申请流程一致。
在XXX,为了确保正确识别和问责制,每个用户将被分配一个唯一的用户账 号。
分配访问
一般要求
用户主管需要对评估和批准用户的文件访问要求负责。这保证了访问控 制与用户的目前的责任范围相一致,并没有妥协的职责分工()。
如果技术上可行,对于账户的管理可以实行自动工作流程以减少管理开销。 分配/取消分配的访问权限,必须适当监控(生成的日志文件,在特殊事件时 自动通知,日志文件分析),以确保可追溯性和审计性,保留期必须定义,根 据公司和考虑相关法律的要求。
峙殊规定和额外的授权可能需要的,如下所述的某些类型的用户帐号。
某些用户ID (如超级用户,超级管理员)可能需要超出了大多数用户的范 围的特殊访问。这些“特权账号”必须被分配在一个非常有限的“需要知道” 的基础上,仅限于直接负责系统、网络、应用程序或安全管理审计的专职人员。
只要有可能,系统应该尝试使用其他账号替代特权账号;
分配的密码应该比标准用户更频繁的更改,例如30天;
程序或系统的特权访问的批准是强制性的;
以防组织职责没有分开,特权必须分配给不同用户账号 而不是给正常业务使用的用户账号,特权账户必须仅用 于特殊的访问需要;
在特定的IT系统,应用程序或IT基础设施组件的特权用户的
数量必须限制到最低程度。
•根据特权访问权限进行操作,特别是关于系统或应用程序
的安装和配置必须经系统或应用程序所有者的授权。
根据访问权限执行特权操作必须进行相应的FI志记录,以确保可追溯性。
第三方人员的用