《37远程访问控制程序.docx》由会员分享,可在线阅读,更多相关《37远程访问控制程序.docx(5页珍藏版)》请在优知文库上搜索。
1、目录目录11目的22范围23职责24相关文件25远程访问内部网络管理26远程访问客户环境管理47记录51目的为明确组织IT系统安全要求,防止非授权用户对组织业务设备的远程访问、损坏和干扰;防止非授权用户访问客户环境,对客户系统造成影响,有效保障组织和客户的工作稳定,特制订本程序。2范围本程序适用于远程用户访问公司内部网络的管理和远程访问客户生产环境的管理。3职责3.1技术部a)负责组织IT系统远程用户访问公司内部网络控制监管工作。b)负责对远程用户访问需求进行审核和控制。c)负责对非授权访问事件进行调查和处理。d)负责组织公司内部人员访问客户生产环境的控制监管工作e)负责对内部人员访问客户生产
2、环境的审核和控制f)负责对非授权访问事件进行调查和处理3.3其他部门负责本部门IT设备的访问控制和管理工作。负责本部门远程访问客户环境事件的管理工作。4相关文件信息安全管理手册安全区域管理程序远程访问策略5远程访问内部网络管理5.1 访问控制策略a)组织内人员因紧急任务需远程用户登录访问组织内部IT设备可提出申请,审评通过后可获得远程登录授权。b)授权仅限于申请人本人使用,禁止向申请人外其他任何人透露授权信息。c)授权最长有效期为7天,到期后必须及时删除授权信息。d)远程用户访问必须采用隧道加密技术保障安全,禁止任何人以任何其他形式开放远程用户访问权限。5.2 用户访问管理5.2.1 授权申请
3、远程用户访问授权仅限组织内部职员申请,申请部门根据业务、管理工作的需要,确定需要访问的系统和访问权限,经过本部门经理同意后,向相关部门系统管理人员提交用户远程访问授权申请表,负责部门相关人员在用户访问授权登记表上登记。用户远程访问授权申请表应对以下内容予以明确:g)权限申请人员:h)访问范围;i)申请理由;j)有效期。申请通过后申请人可获得VPN登录组织内部网络的授权。如需要获得内部服务器登录授权请参照用户访问管理程序申请。5.2.2 权限变更对发生以下情况对其访问权应从系统中予以注销:a)内部用户雇佣合同终止时;b)内部用户因岗位调整不再需要此项访问服务时;c)相关方访问合同终止时;d)其它
4、情况必须注销时。如果是公司有离职人员,按照技术部提交的离职交接单,相关部门需要按照系统访问权限说明书,取消相应的用户权限。5.3 授权用户口令管理各部门管理员应按以下过程对被授权访问该系统的用户口令予以分配:a)分配给用户一个安全口令,并通过安全渠道传递给用户;b)当用户忘记口令时,系统管理员在获得用户的确认后可以为其重新分配口令。所有用户在选择与使用口令时应严格遵组织的口令策略。6远程访问客户环境管理6.1 访问控制策略a)组织内人员因工作任务需远程用户登录访问客户环境可提出申请,审评通过后可获得远程登录授权。b)授权仅限于申请人本人使用,禁止向申请人外其他任何人透露授权信息。c)授权人员可
5、使用,每次登录之前,需要获得客户许可后方可登录。d)用户不能看到客户登录的帐号和密码,必须通过公司专用的拨号管理程序才能登录客户环境。e)登录后系统会自动记录登录人员的信息和登录时间。6.2 用户访问管理6.2.1 授权申请远程访问客户环境授权仅限组织内部职员申请,申请部门根据业务、管理工作的需要,确定需要访问的系统和访问权限,经过本部门经理同意后,负责部门相关人员登记。拨号管理授权申请表应对以下内容予以明确:a)权限申请人员:b)访问范围;c)申请理由;d)有效期。申请通过后申请人可获得拨号管理程序登录客户环境的授权。如需要获得内部服务器登录授权请参照用户访问管理程序申请。5.2.2权限变更对发生以下情况对其访问权应从系统中予以注销:a)内部用户雇佣合同终止时;b)内部用户因岗位调整不再需要此项访问服务时;c)相关方访问合同终止时;d)其它情况必须注销时。如果是公司有离职人员,按照技术部提交的离职交接单,相关部门需要按照系统访问权限说明书,取消相应的用户权限。5.3授权用户口令管理各部门管理员应按以下过程对被授权访问该系统的用户口令予以分配:a)分配给用户一个安全口令,并通过安全渠道传递给用户;b)当用户忘记口令时,系统管理员在获得用户的确认后可以为其重新分配口令。所有用户在选择与使用口令时应严格遵组织的口令策略。7记录远程用户访问授权登记表