访问控制管理办法.doc

访问控制管理办法第一章 总 则第一条 目的：为了对DXC资产范围内所有的操作系统、数据库系统、应用系统、开发测试系统及网络系统所提供的服务的访问进行合理控制，确保信息被合法使用，禁止非法使用，特制定本管理办法。第二条 依据：本管理办法根据DXC信息安全管理策略制订。第三条 范围：本管理办法适用于DXC及所辖分支。第二章 访问控制第四条 对于需要进行访问控制的操作系统、数据库系统、应用系统、开发测试系统及网络系统，要对系统设置，保证在进入系统前必须执行登录操作，并且记录登录成功与失的日志。第五条 在可能的系统中，系统登录界面显示声明“只有合法用户才可用该系统”的警示。登录时设置系统不显示系统信息。第六条 对于具有身份验证功能的系统程序，程序所属部门，应建立登录程序的用户，并对有权限的人授权；对于没有用户验证功能的程序，要通过系统的访问权限控制对程序的访问。第七条 生产网和办公网要实现物理隔离，核心设备要设置特别的物理访问控制，并建立访问日志。第八条 对于信息资源的访问以目录或具体文件设置用户可用的最低权限，并通过属性权限与安全权限控制用的户权限。第九条 访问控制权限设置的基本规则是除明确允许执行情况外一般必须禁止。第十条 访问控制的规则和权限应该符合DXC业务要求，并记录在案。第十一条 对网络系统访问时，通过为用户注册唯一的ID来实现对用户的控制。第十二条 系统管理员必须确保用户的权限被限定在许可的范围内，同时能够访问到有权访问的信息。第十三条 用户必须使用符合安全要求的口令，并对口令做到保密。第十四条 系统管理员必须对分配的权限和口令做定期检查，防止权限被滥用。检查频率为每季度一次，并填写重要系统关键用户权限及口令季度审查表。第十五条 明确用户访问的权限与所担负的责任。第十六条 系统管理员必须保证网络服务可用，保证使用网络服务的权限得到合理的分配与控制。第十七条 系统管理员制定操作系统访问的规则，用户必须按规则访问操作系统。第十八条 对各部门使用的应用系统或测试系统，由该部门制定访问规定并按规定执行。第十九条 对信息处理设施的使用情况进行监控，及时发现问题并采取必要的安全措施。第三章 附 则第二十条 本管理办法由DXC负责解释和修订。第二十一条 本管理办法自发布之日起施行。