信息系统访问控制策略

一、账户管理

身份授予与鉴别是对访问医院资源的用户富裕身份并在用户访问资源时进行身份鉴别，目的是保证访问网络系统资源的用户是合法的。关于身份授予与鉴别政策定义如下：

1.应基于不同业务的需求对访问医院内部用户分别建立账

户的授予与撤销管理措施和执行过程。

2.授予用户的身份应是唯一的，即一个用户账户唯一地对应

一个用户，不允许多人共享一个账户。

3.对任何用户的登录应进行身份鉴别。身份鉴别的方法应根

据用户所处的环境的风险确定。

4.对重要数据的访问保证有足够的口令强度和防攻击能力，

用户必须使用符合安全要求的口令，并妥善保护口令。

5.信息系统的所有者应维护特权账户的清单和对应使用人

员，并至少每三个月对特权账号进行回顾。

6.信息安全的访问控制，应基于分级的原则。在不同级别之

间，应设置访问控制措施；

7.访问控制角色应进行分离，包括如下角色：

访问请求

访问授权

访问管理

8.访问控制应包括如下管理过程：

访问控制措施的部署；

访问控制权限的申请、审批及授予

访问控制权限的撤销

二、网络访问控制

网络区域划分与隔离室进行访问控制的挤出，目的是确认并管理医院网络内部边界与外部边界使各个区域之间相互独立，保证各个区域间的影响最小化。

医院所有网络区域应根据其支撑的业务和业务的安全需求进行划分，对于安全需求比较高的敏感区域应进行识别，明确每个区域与其他区域的边界以及企业内部与外部区域的边界。医院网络区域包括但不限于：

医院互联网办公网络

医院内部信息网络

计算机系统操作权限管理制度

计算机系统操作权限管理制度为了进一步加强**管理，规范**部门业务工作，建立和完善***内部监督制约机制，确保国家有关法律、法规的严格执行，特对岗位权限设置做以下规定：一、本规定适用范围为**业务岗位。二、**业务岗位人员应当由正式担任，并经上级**部门业务培训，考试合格取得上岗资格。三、岗位设置要利于提高工作效率，利于相互监督，突出便民利民，符合《机动车登记规定》、《机动车驾驶证申领和使用规定》、《机动车登记工作规范》、《机动车驾驶证业务工作规范》、《车辆管理所业务岗位规范》和《十七项便民利民措施》等规定。四、**所各岗位权限设置由**所办公会集体研究后，制定详细的权限，交**所系统管理员进行设定。五、部门新增用户和更改用户权限，应当以正式文件报支队**所审批后，交**所系统管理员设置。六、发生人事变动和**所人员调整交流，**所应当及时与上一级**所联系，组织有关培训学习。经考试合格后按照本规定第四、五条办理。七、系统权限设置后，操作人员要及时更换密码，妥善保管个人由工号和口令，因工号、口令遗失造成后果的，由

操作员本人负责，操作员严禁使用他人工号登录办理业务。八、严禁把系统密码交给聘用（工勤）人员并直接办理业务；严禁私自更改计算机 IP地址；严禁在办理

**业务的计算机上安装与工作无关的软件。九、系统管理员要定期核查业务办理和权限使用情况，发现问题及时向所领导汇报。十、系统管理员应将所有授权人员登记造册，备案；对因工作调动等原因不再办理业务的，应及时取消授权。（注：文档可能无法思考全面，请浏览后下载，供参考。可复制、编制，期待你的好评与关注）

信息系统管理制度

信息系统管理制度第一章总则第一条为了保护公司计算机信息系统安全，规范信息系统管理，合理利用信息系统资源，推进公司信息化建设，促进计算机的应用和发展，保障公司信息系统的正常运行，充分发挥信息系统在企业管理中的作用，更好地为公司生产经营服务，根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规，结合公司实际情况，制定本制度。第二条本制度所称的信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条信息系统的安全保护应当保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，应当保障信息的安全，保障计算机功能的正常发挥，保障应用系统的正常运行，以维护计算机信息系统的安全运行。第二章硬件第四条按照谁使用谁负责的原则，落实责任人，负责保管所用的网络设备和线路的完好。两人以上的用户，必须明确一人负责。第五条计算机设备的日常维护由各业务部门、子公司、分支机构负责。计算机设备和软件发生故障或异常情况，由公司网管统一进行处理。第六条按照作息时间准时开关机，及时处理有关文件，严禁使用公司计算机玩游戏、听音乐、看影碟等。第七条计算机操作人员应保持计算机环境清洁，下班之前退出所有程序关闭计算机，切断插板电源后方可下班离开。第八条各负责人应对计算机定时杀毒，对外来不明存储设备，必须经过严格的病毒检测，方可使用。第三章软件及账号管理制度

第九条各业务部门、分公司配备的计算机及网络设备根据使用者落实到人，各责任人对于计算机系统必须设置账号密码，严格控制非使用人员使用计算机，使用软件系统必需经公司批准，使用分配的账号，并设置密码后方可使用，网络管理员根据企业制度的账号管理规则对用户账号实行管理，并对用户账号的安全和保密负责。第十条责任人对自己的计算机要经常进行病毒检测与杀毒。严禁外单位人员操作公司信息系统，严禁使用外来存储设备，以防泄密和病毒侵入。第十一条操作计算机时不得使用一些危险性的命令，严禁分区及格式化硬盘等操作。第十二条计算机操作人员不得随意在各终端及局域网上安装任何与工作无关的软件程序，但经审批通过的管理软件除外。第四章网络和互联网访问第十三条未经网管批准，任何人不得改变网络拓扑结构、网络设备布置、服务器、路由器配置和网络参数，外部电脑未经网管允许，常州千红生化制药股份有限公司信息系统管理制度不得接入公司网络。第十四条网络使用划分为五级安全保护等级，联接局域网内的任何一台计算机按照确定的等级进行使用，不得随意更改，用途须与工作有关，使用互联网必须遵守国家相关法律法规，否则其所带来的后果由用户责任人承担。第一级：办公电脑可以在网络监控下，使用互联网，访问外部网站，能够使用外部即时通信工具。第二级：办公电脑可以在网络监控下，使用互联网，访问外部网站，只能访问指定的网站，不能使用外部即时通信工具。第三级：办公电脑只能在公司局域网内联网，使用公司内部的网络资源，不能够联接互联网。第四级：办公电脑只能在本部门或分公司网段联网，可以使用公司统一资源，不能访问跨部门网络资源。

系统访问控制程序

信息科技部系统访问控制程序 A版 2011年6月1日发布2011年6月1日实施

目录 1 目的 (3) 2 范围 (3) 3 相关文件 (3) 4 职责 (3) 5 程序 (3) 5.1 各系统安全登录程序 (3) 5.2 用户身份标识和鉴别 (4) 5.3 口令管理 (5) 5.4 系统实用工具的使用 (5) 5.5 登录会话限制 (6) 5.6 特殊业务链接时间的限定 ...................................................... 错误！未定义书签。 6 记录 (6)

1 目的为规范阜新银行信息科技部对各系统的访问控制，预防对系统的未授权的访问特制定此文件。 2 范围本程序适用于阜新银行信息科技部核心系统及外围系统的维护、登录与管理。 3 相关文件《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求：（a）不显示系统或应用标识符，直到登录过程已成功完成为止；（b）在登录过程中，不提供对未授权用户有帮助作用的帮助消息；（c）仅在所有输入数据完成时才验证登录信息。如果出现差错情况，系统不应指出数据的哪一部分是正确的或不正确的；（d）限制所允许的不成功登陆尝试的次数（推荐3次）并考虑： 1）使用策略或其他手段记录不成功的尝试； 2）在允许进一步登录尝试之前，强加一次延迟，或在没有特定授权情况下拒绝任何进一步的尝试；

浅谈访问控制策略

浅谈访问控制策略身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而，对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。在GB17859中．身份鉴别指的是用户身份的鉴别，包括用户标识和用户鉴别。在这里．用户标识解决注册用户在一个信息系统中的惟一性问题．用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下．当用户注册到一个系统时，系统应给出其惟一性的标识．并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的．一方面以一定方式提供给用户．另一方面由系统保存)。当用户登录到该系统时，用户应提供鉴别信息，系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。其实．从更广义的范围来讲．信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别．用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下，又要确认对方身份的真实、可信．从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA 系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别．其实与注册用户的身份鉴别没有多大区别．只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别．同样要先对其进行注册，并在注册时确定鉴别信息(鉴别信息既与设备相关联．又由系统保留)。当需要将设备接入系统时．被接入设备需提供鉴别信息，经系统确认其身份的真实性后方可接入。访问控制在GB17859中同样有其特定的含义．并对自主访问控制和强制访问控制的策略做了具体的说明。其实．访问控制在更广的范围有着更广泛的含义。在许多情况下．人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问．把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因

管理信息系统权限管理制度(定稿)

XXXXXX有限公司管理信息系统权限管理制度 XXX-XX-XX 第一章总则第一条目的为规范公司管理信息系统的权限管理工作，明确不同权限系统用户的管理职责，结合公司实际情况，特制定本管理制度。第二条定义（一）管理信息系统：包含已经上线的财务会计、管理会计、供应链、生产制造、CRM（客户关系管理）、决策管理和后续上线的所有管理信息系统模块。（二）权限：在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。（三）操作员：上述软件系统使用人员。第三条适用范围本制度适用于XXXXXX有限公司（以下简称XXXX、公司）、XXXXXXX有限公司、XXXXXX有限公司、XXXXXXXX有限公司。 XXXX股份有限公司控、参股的其他公司，应结合本公司实际情况，参照本制度制定相应管理制度，报XXXX质量信息部备案。第二章职责划分第四条管理信息系统管理部门公司的管理信息系统由质量信息部负责管理和维护，同时也是管理信息系统用户权限的归口管理部门，主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。第五条管理信息系统操作部门除管理信息系统管理部门外，其他使用管理信息系统的部门，均为管理信息系统的操作部门，使用人员为各岗位操作员。

具体岗位职责如下：（一）负责岗位信息系统权限的申请及使用，并对权限申请后形成的业务结果负责。（二）负责所使用模块的数据安全。第六条管理信息系统系统管理员管理信息系统的系统管理员由质量信息部指派，并报公司管理层领导备案。系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份，并定期进行管理信息系统安全审计。第三章用户权限管理第七条用户权限申请各部门依据实际工作情况，当需要新增/变更/注销管理信息系统的用户权限时，可由操作员本人或所在部门领导指派的专人，填写《ERP权限新增/变更/注销申请表》（参附件1）。第八条用户权限审批《ERP权限新增/变更/注销申请表》由申请人提交，经所在部门领导、分管领导及质量信息部部门领导审批同意后，报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后，填写申请表中系统管理员之相应内容并存档。第九条用户权限配置用户权限审批通过后，系统管理员将在两个工作日内完成权限新增/变更/注销工作，并以电子邮件通知申请人以及部门领导。第十条用户权限测试申请人在接到权限开通通知后，须在三个工作日之内完成系统权限测试，如有问题可通过电子邮件（包含问题的文字说明及截图）反馈到系统管理员。系统管理员应及时给予解决，并将处理结果通过电子邮件及时反馈给申请人。在三个工作日之内无问题反馈的，系统管理员将视此权限设置正确，后续如有问题将按照用户权限申请流程处理。

信息化系统管理制度

XX局信息化系统管理制度第一章总则第一条随着大集中系统应用推广、随着我局信息化建设的推进及计算机装备水平的提高，为加强计算机、网络系统运行的管理工作和税收信息化建设工作，规范计算机应用，保障网络系统和业务数据的稳定、高效、安全运行，提高科技管税水平，促进信息化建设稳步发展。原有《XX市地方税务局计算机系统管理办法》已不能完全适应现信息化建设管理需要。结合我局的业务需求和实际情况，根据《计算机保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《国家税务局总局税务系统电子数据处理管理办法（试行）》、《昆明市计算机信息系统安全监察暂行办法》、《昆明市地方税务局计算机管理试行办法》、《XX地方税务局信息化安全管理制度》等有关法律法规及管理制度。现将原来《办法》修订为《XX市地方税务局信息化系统管理制度》。第二条XX市地方税务局信息化系统的管理工作，必须按照国家的法律和国家税务总局制定的“统一领导、统一规划、统一标准、分步实施”的原则，在省、市地税局的领导下进行。第三条信息化系统管理含盖计算机系统运行管理、网络安全管理、业务电子数据管理、设备及耗材管理，等四个方面。第四条各科室、分局、稽查局（以下统称各部门）。各部门的计算机运用工作应遵守国家有关法律法规和省、市地方税务局有关规定，在局计算机管理部门授权范围内按照本办法规范运作。页脚内容1

第五条我局设立计算机管理部门负责全局的计算机系统管理工作，研究制定相关的工作规划、措施，监督、检查计算机系统的使用、运行情况，传达、协调、制定有关技术和应用标准。使用计算机的各部门，负责相关业务应用程序的操作、日常维护及安全保密工作。及时向计算机管理部门报告应用中发现的有关问题。第六条XX市地税局计算机管理部门内设专职系统维护员职位，负责软件、硬件、数据库和业务系统管理。计算机系统操作员是指经局计算机管理部门授权，在授权范围内使用我局计算机系统相关功能的操作人员。第七条本办法适用于XX市地税局使用计算机的各部门和全体干部职工（含协管员）。第二章计算机系统运行管理第八条根据省、市地方税务局的规定与要求设置计算机管理部门、配备专职系统维护员负责全局的信息化建设和计算机系统维护、管理工作；各部门指定即兼职计算机管理员员（信息安全员）负责本部门计算机、网络设备、打印设备的日常维护管理，对本部门其他人员计算机应用的辅导。第九条 XX市地税局专职系统管理人员应履行以下职责：一、按照省、市地方税务局的要求和本局实际情况，负责对全局信息化建设工作进行总体规划和组织实施。二、负责起草全局计算机管理工作的各项规章制度。三、配合省、市地方税务局的总体业务目标，制定技术工作计划并组织实施。四、协助各部门对单行业务应用软件的维护工作，并为各部门业务应用软件及基础数据资料管理提供技术支持。五、保障全局计算机软、硬件、网络系统的正常运行。六、负责监督、检查、协调，并从技术上指导各部门的计算机工作，提供技术支持。页脚内容2

ISO27001系统访问控制程序

ISO27001系统访问控制程序 1 目的为规范IT信息科技部对各系统的访问控制，预防对系统的未授权的访问特制定此文件。 2 范围本程序适用于IT核心系统及外围系统的维护、登录与管理。 3 相关文件《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求：（a）不显示系统或应用标识符，直到登录过程已成功完成为止；（b）在登录过程中，不提供对未授权用户有帮助作用的帮助消息；（c）仅在所有输入数据完成时才验证登录信息。如果出现差错情况，系统不应指出数据的哪一部分是正确的或不正确的；

（d）限制所允许的不成功登陆尝试的次数（推荐3次）并考虑： 1）使用策略或其他手段记录不成功的尝试； 2）在允许进一步登录尝试之前，强加一次延迟，或在没有特定授权情况下拒绝任何进一步的尝试； 3）断开数据链路链接； 4）如果达到登录的最大尝试次数，向系统控制台（或向中心机房管理员）发送警报消息； 5）结合口令的最小长度和被保护系统的价值（风险评估的结果或内部存储信息的价值）设置口令重试的次数；（e）限制登录程序所允许的最大和最小次数。如果超时，则系统应终止登录；（f）在成功登陆完成时，显示下列信息： 1）前一次成功登陆的日期和时间； 2）上次成功登陆之后的任何不成功登陆尝试的细节；（g）不显示输入的口令或考虑通过符号隐蔽口令字符；（h）不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2 登录程序满足上述要求后，任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。 5.1.3 相关职能人员得到授权后，对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态，防止未授权访问发生的可能。 5.1.4 其他部门人员因业务需要，需登录信息科技部核心系统或外围系统时，必须由中心机房管理人员全程陪同。 5.2 用户身份标识和鉴别 5.2.1 IT信息科技部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户ID及口令。

基于安全策略的信息系统一体化管理的

基于安全策略的信息系统一体化管理的摘要：随着企业信息化建设的多年发展和不断推进，电网企业已建设推广了众多信息系统，并已深入到企业日常业务和管理的各个角落。各类信息系统的高效访问集成是提高公司员工工作效率的有效途径，信息系统安全稳定的运行是整个企业正常运转的重要保障，自动化、不间断的监控报警系统是及时发现隐患、保证系统正常工作的有效手段。因此，建设一个集信息系统监控、预警、全生命周期管理等功能于一体的管理工具在信息系统的日常运营中是非常重要的。关键词：安全策略；信息系统；现象描述 1、现象描述随着公司信息化建设的不断推进，公司已上线了各类国网公司、省公司统推系统，且各类系统版本较为复杂，造成在管理过程中存在诸多的问题。（1）依靠手工Excel方式对这些数量众多的信息系统进行监管，监管力度不够，对信息系统上下线管理缺乏有效管控工具，一些不应继续使用的遗留系统仍在运行并局部使用。（2）信息系统能否正常使用只能依靠管理员人工查看或用户报修，缺乏有效手段及时发现系统故障，对各子系统运行状况无实时监控，发生故障后无法及时察觉，恢复速度慢导致故障排除周期较长，信息运维用户满意度降低。（3）公司所有的信息子系统缺乏统一入口，不少信息系统还没有与统一门户集成，各个子系统使用各自的访问控制手段，杂乱难记，用户日常使用时只能靠输入链接地址进行访问，系统访问不方便，带来安全隐患。 2、处理过程设计信息系统一体化管理工具，实现信息系统资源统筹管理，消除信息孤岛，促进各信息系统间互通互联，实现数据集中、文档集中、资源整合；实现信息系统实时监控及风险预警缩短系统故障响应周期，提供信息运维服务水平，提高用户满意度；实现信息系统全生命周期管理，确保系统安全稳定可靠运行。 1）、通过“信息系统访问控制管理”研究，基于安全访问控制策略，合理设置各类用户的权限，构建公司各类信息系统的统一入口，建立信息系统快速搜索功能，方便用户准确快速链接到需要使用的信息系统，无需刻意记忆，提高工作效率。 ● 面向方面的应用程序访问控制利用运行时织入（runtime weaving）手段，可以将访问控制逻辑实现为AOP 方面模块后，在部署平台上织入到应用系统中，而不用修改应用系统的源代码。安全方面代码织入之后，即可拦截过滤用户对系统的访问，实现按规则的访问控制。 AOP工具在多种语言上都有实现。其中在Java上有运行良好的AspectJ库，此库可结合Spring框架及Spring Security子框架，实现高品质的安全控制特性。在.NET环境，有通过MSIL动态注入来实现AOP的PostSharp库。这样，公司多数应用都可以在同一种技术框架下实现访问控制了。 ● 基于Apache的访问控制方案 Apache服务器集成了访问控制能力，通过编辑.htaccess文件，可以设定特定来源的用户对特定资源的访问允许和禁止规则，Apache将会执行该文件中设定的规则，对某些请求进行拦截。此外，读取.htaccess文件并作出拦截或放行决定的，并不是Apache核心代码，而是Apache中的几个模块（以mod_auth为核心）提

ISO27001信息网络访问控制程序

ISO27001信息网络访问控制程序 1 目的为加强内部企业网、Internet网络及网络服务的管理，对内部和外部网络的访问均加以控制，防止未授权的访问给网络和网络服务带来的损害，特制定此程序。 2 范围本程序适用于内部企业网、Internet网络及网络服务的管理。 3 相关文件 4 职责 4.1 网络管理员负责对网络服务的开启与管理。 4.2 网络管理员负责审批与实施内网、外网的开启。 4.3 信息科技部内部员工必须遵守此程序，网络管理员有监督检查的责任。 4.4 文档管理员负责文档的收录与管理。 5 程序 5.1 网络和网络服务使用策略 5.1.1 IT信息科技部定期（每年）对机关办公楼各部（中心）人员的网络配置情况进行一次全面的普查和登记，填写《市行机关办公楼、内外网络接入申请单》备档，严格控制外网入网的人员数量，决不允许一机器登录双网（采用双网卡或双网线）的现象出现，登陆外网的计算机必须装有病毒查杀软件，确保现有的网络资源和网络安全。

5.1.2 IT各部（包括信息科技部）后续需要增加使用内外网结点数量，开展IT 业务，要填写《市行机关办公楼、内外网络接入申请单》如果需要某种网络服务的话请在“网络接入需求原因中体现”，经所在部门总经理签字后递交给信息科技部，由网络管理员实施并交由文档管理员进行备案。 5.1.3 申请使用Internet网，应当具备下列条件之一。（1）IT开展的营业活动必须要通过网上查询交易的。（2）助理以上的机关领导干部工作需要上网的。（3）因工作需要，经部门总经理批准的本部门员工（不能超过员工总数的1/3）。 5.1.4 经批准允许登录内外网的工作人员不得从事下列危害计算机网络安全和信息安全的业务：（1）制作或者故意传播计算机病毒以及其他破坏性程序；（2）非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序；（3）相关法律、行政法规所禁止的其他行为；（4）有损IT形象的行为； 5.1.5 经批准允许登录Internet网络工作人员不得利用互联网制作、复制、查阅、发布、传播含有下列内容的信息；（1）外泄IT内部商业机密；（2）反对宪法所确定的基本原则的；（3）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（4）损害国家荣誉和利益的；（5）煽动民族仇恨、民族歧视，破坏民族团结的；（6）破坏国家宗教政策，宣扬邪教和愚昧迷信的；（7）散布谣言，扰乱社会秩序，破坏社会稳定的；（8）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（9）侮辱或者诽谤他人，侵害他人合法权益的；（10）法律、行政法规禁止的其他内容。

信息系统用户和权限管理制度

系统用户和权限管理制度第一章总则第一条为加强系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行，防范应用风险，特制定本制度。第二条本制度适用于管理的、基于角色控制和方法设计的各型信息系统，以及以用户口令方式登录的客户端。第三条系统用户、角色、权限的划分和制定，以人力资源部对部门职能定位和各业务部门内部分工为依据。第四条协同办公系统用户和权限管理由场办公室负责，其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。第五条信息系统用户和权限管理的基本原则是：（一）用户、权限和口令设置由系统管理员全面负责。（二）用户、权限和口令管理必须按照要求进行分配管理。（三）用户、权限和口令管理采用实名制管理模式。（四）严禁杜绝一人多账号登记注册。第二章管理职责第七条系统管理员职责创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为用户授权和操作培训和技术指导。第八条用户职责用户须严格管理自己用户名和口令，遵守保密性原则，除获得授权或另有规定外，不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息，即实名制登记。第三章用户管理第十条用户申请和创建（一）申请人填写基本情况，提交本部门负责人；（二）部门负责人确认申请业务用户的身份权限，并在《用户账号申请和变更表》确认。

（三）经由部门经理进行审批后，由系统管理员创建用户或者变更权限。（四）系统管理员将创建的用户名、口令告知申请人本人，并要求申请人及时变更口令；（五）系统管理员将《用户账号申请和变更表》存档管理。第十一条用户变更和停用（一）人力资源部主管确认此业务用户角色权限或变更原因。（二）执行部门主管确认此业务用户角色权限或变更原因。（三）系统管理员变更系统管理员变更，应及时向上级系统管理员报告，并核对其账户信息、密码以及当时系统中的各类用户信息及文档，核查无误后方可进行工作交接。新任系统管理员应及时变更账户信息及密码。（四）业务管理员变更业务变更应及时向本级管理或上级业务管理报告，上级业务管理和系统管理员及时变更业务管理信息。（五）用户注销用户因工作岗位变动，调动、离职等原因导致使用权限发生变化或需要注销其分配账号时，应填写《用户账号申请和变更表》，按照用户账号停用的相关流程办理，由系统管理员对其权限进行注销。第四章安全管理第十二条使用各信息系统应严格执行国家有关法律、法规，遵守公司的规章制度，确保国家秘密和企业利益安全。第十三条口令管理（一）系统管理员创建用户时，应为其分配独立的初始密码，并单独告知申请人。（二）用户在初次使用系统时，应立即更改初始密码。（三）用户应定期变更登陆密码。（四）用户不得将账户、密码泄露给他人。第十四条帐号审计账号审计工作由信息系统管理部门的负责人或者主管进行审计，并应定期向其领导进行汇报，由场信息系统管理部门负责人定期和不定期检查。第十五条应急管理（一）用户及业务管理员账户信息泄露遗失用户及业务管理员账户信息泄露遗失时，.应在24小时内通知本级系统管理员。本级系统管理员在查明情况前，应暂停该用户的使用权限，并同时对该账户所报数据进行核查，待确认没有造成对报告数据的破坏后，通过修改密码，恢复该账户的报告权限。

人员信息系统管理制度

人员信息系统管理制度为确保人员信息准确与更新及时性特制订本规定 1、上海大众经销商人力资源管理系统分为售前和售后两个网址，是上海大众对所有经销商进行人员管理、信息沟通的平台，包括两大模块：经销商人员管理、信息发布。进行人员管理时，售前网在“人员管理”模块中，售后网在“人力资源”模块中。 2、人员信息系统管理的归口部门为行政管理部。行政部人事培训主管拥有人力资源管理系统的操作权限，人事培训主管定期登陆系统，查看最新通知，对系统人员进行维护；其他人员无权进行系统信息修改。行政经理负责监督检查人员系统维护的时效性，人力资源管理指标信息的准确性、规范性、指标达成率等。 3、维护时间 3.1 常规自查：人事培训主管根据《人员信息系统管理规定》要求对相应岗位的信息进行维护和管理，做到准确、无误、及时。人事培训主管每月20日进行人员系统维护，每月25日根据劳动合同花名册进行自查，行政经理每月28日对上月系统操作的规范性进行检查和核实。（签订合同审批表，调岗通知、调岗表） 3.2 变更时限:人员入职应该在员工签订正式劳动合同的30个工作日内进行维护。转岗应填写人员内部调动申请表，批准后30个工作日内将人员工作状态维护成转岗。离职维护应在员工办理完毕离职手续后30个工作日内将人员工作状态维护成离职。 4、售前网维护内容 4.1员工入职：在“添加新员工”模块中依次维护员工信息，重要岗位需上传相关证明材料，包括学历证明、身份证明、驾驶证等。 4.2转岗：在“查看员工信息”模块中选择员工姓名，在“工作状态”一项中选择“转岗”，最后点击“修改”。员工转入的新岗位和替代者按员工入职上报。 4.3离职：在“查看员工信息”模块中选择员工姓名，在“工作状态”一项中选择“离职”，最后点击“修改”。 4.4重要岗位人员维护：按照DOS规定要求，已获得认证的岗位人员（销售顾问除外）出现变更（已从公司离职），包括以下人员（总经理、销售总监、服

ISO27001：2013信息系统访问与监控管理程序

XXXXXXXXX有限责任公司信息系统访问与使用监控管理程序 [XXXX-B-16] V1.0

变更履历

1 目的为了加强信息系统的监控，对组织内信息系统安全监控和日志审核工作进行管理，特制定本程序。 2 范围本程序适用于XXXXXXXXX有限责任公司信息系统安全监控和日志审核工作的管理。 3 职责 3.1 技术部为网络安全的归口管理部门。 3.2 网络安全管理员负责对信息系统安全监控和日志的审核管理。 4 相关文件《信息安全管理手册》《信息安全事件管理程序》 5 程序 5.1 日志技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存半年，以支持将来的调查和访问控制监视活动。系统管理员不允许删除或关闭其自身活动的日志。日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。应防止对日志记录设施的未经授权的更改和出现操作问题，包括： a)对记录的信息类型的更改； b)日志文件被编辑或删除； c)超过日志文件媒介的存储容量，导致事件记录故障或者将以往记录的事件覆盖。 5.2 日志审核

技术部IT专职人员每周审核一次系统日志，并做好《日志审核记录》。对审核中发现的问题，应及时报告行政部进行处理。对审核发现的事件，按《信息安全事件管理程序》进行。 5.3 巡视巡检巡视人员负责每天监控巡视，技术部安全管理员每周进行一次监控巡视。新系统投入运行前必须对系统的监控巡视人员进行技术培训和技术考核。监控巡视人员按信息资源管理系统的要求进行系统监控和巡视，并填写运维记录报告。监控巡视期间发现问题，应及时处理，并在运维记录中填写异常情况。监控巡视人员应进行机房环境、信息网络、应用系统的巡视，每天记录机房温度、防病毒情况、应用系统运行情况等。巡视人员的巡视巡检按《信息处理设施维护管理程序》进行。 5.4 职责分离为防止非授权的更改或误用信息或服务的机会，按要求进行职责分配。另见《用户访问管理程序》、《IT工程师职位说明书》 5.5审计记录（日志）及其保护 5.5.1 技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存半年，以支持将来的调查和访问控制监视活动。 5.5.2 系统管理员和系统操作员的活动应记入日志，系统管理员不允许删除或关闭其自身活动的日志。 5.5.3 日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。 5.5.4 应防止对日志记录设施的未经授权的更改和出现操作问题，包括： a) 对记录的信息类型的更改； b) 日志文件被编辑或删除； c) 超过日志文件媒介的存储容量，导致事件记录故障或者将以往记录的事件覆盖。 5.6时钟同步 5.6.1公司网络和系统采用网络时间协议保持所有服务器与主时钟同步。 5.6.2 个人计算机应采用网络时间协议保持与主时钟同步。 6 记录《日志审核记录》《网络与信息安全检查表》

管理信息系统权限管理制度(定稿)教学内容

管理信息系统权限管理制度(定稿)

第五条管理信息系统操作部门除管理信息系统管理部门外，其他使用管理信息系统的部门，均为管理信息系统的操作部门，使用人员为各岗位操作员。具体岗位职责如下：（一）负责岗位信息系统权限的申请及使用，并对权限申请后形成的业务结果负责。（二）负责所使用模块的数据安全。第六条管理信息系统系统管理员管理信息系统的系统管理员由质量信息部指派，并报公司管理层领导备案。系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份，并定期进行管理信息系统安全审计。第三章用户权限管理第七条用户权限申请各部门依据实际工作情况，当需要新增/变更/注销管理信息系统的用户权限时，可由操作员本人或所在部门领导指派的专人，填写《ERP权限新增/变更/注销申请表》（参附件1）。第八条用户权限审批《ERP权限新增/变更/注销申请表》由申请人提交，经所在部门领导、分管领导及质量信息部部门领导审批同意后，报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后，填写申请表中系统管理员之相应内容并存档。第九条用户权限配置用户权限审批通过后，系统管理员将在两个工作日内完成权限新增/变更/注销工作，并以电子邮件通知申请人以及部门领导。

信息系统管理制度与考核办法

信息系统管理制度文件编号：编写部门：行政人事部编写人：审批人：审批日期：

第一章产品目标与管理模式本章节旨在解决产品链的建立、衔接与管理，明确纵向产品体系和项目经理管理模式。 1.管理模式管理方法产品化管理，在原直线职能管理模式基础上实行矩阵式管理，由项目经理对项目组所开发的产品负主要责任，从需求——开发——测试——发布——培训——实施的整体业务体系全程监督与控制。管理重点抓“两头”放“中间”。其中，抓“两头”是指项目经理主抓业务需求和总体框架、抓数据库结构；放“中间”是指部门范围内开发代码，实现模板化编译和信息资源共享。基于场所层面的开发重在解决管理职能，基于地市省厅层面的开发重在解决指导职能。管理源头需求是软件开发的根基、是节约成本的源头，需求描述必须可交流、格式化，经开发、测试和培训服务三方共同理解与确认的需求说明文档，是信息系统流程运作的主要依据。 2.产品目标产品体系以看守所系统为主导产品，带动治安拘留所系统、安康医院系统、收容教育所系统等场所产品发展，着手研制强制戒毒所系统。在实现基本业务功能和充分数据采集的基础上，将一系列产品挂至省厅地市系统，实现综合应用和深挖犯罪。开发模式 ·开发结构：场所开发C/S结构为主，B/S开发旨在充分利用网络资源实现信息的充分共享和综合运用。B/S与C/S结构开发相互独立、留有接口。

·开发方法：由原型法转入瀑布法，加强需求调研与开发质量，为后期维护减负。 ·开发方向：产品模块化和智能化运作，明确系统主体业务模块与非主体业务模块，在主体业务功能完善的基础上稳定产品；在充分实现系统数据采集的基础上，实现WEB平台的综合应用和深层次的犯罪挖掘。 3.发展目标 ·第一阶段：采集数据。与硬件系统集成，实现采集系统的功能拓展。·第二阶段：综合应用。通过业务报表实现查询功能，通过数据接口对外部系统形成连接平台，引导行业标准。 ·第三阶段：数据挖掘、横向联查，形成一个庞大的数据挖掘系统。·第四阶段：将数据应用系统作成公安系统的办公平台，成为公安系统日常工作不可或缺的办公工具。通过平台反向促进数据采集的准确率。 4.市场定位竞争对手目前有湖北东方（业务导向）、华迪公司（BS优势）、深圳胡晓峰（OA理念）、南京科安（份额优势）、上海三所等。需时时了解对手动态，掌握对手优势，做到知己知彼、对症下药。竞争策略看守所层面形成绝对市场优势和技术优势，其它系统才能进入市场，形成绝对垄断。信息系统市场的巩固与拓展，是带动系统集成业务发展和获取收益增长的前提。 .市场定位稳固看守所系统，挖掘省厅地市、拘留所、强制戒毒所等信息系统，争取部局系统，逐步向地铁公安、公安消防等相关行业信息系统递延。

信息系统权限及数据管理办法

******股份有限公司信息系统权限及数据管理办法（试行）第一章总则第一条为了加强对******股份有限公司（简称：公司）各运行信息系统权限和数据的管理，明确权限及数据管理相关责任部门，提高信息系统的安全运行和生产能力，规范公司业务系统权限申请及数据管理流程，防范业务系统操作风险，公司制定了信息系统权限及数据管理办法，以供全公司规范执行。第二条本办法所指信息系统权限及数据包括，但不仅限于公司运行的OA 办公系统、业务作业系统、对外网站系统等涉及的系统用户权限分配、日常管理、系统及业务参数管理，以及数据的提取和变更。第三条本办法遵循责权统一原则对员工进行系统授权管理，控制公司相关信息传播范围或防范进行违规操作。第四条信息技术部是本办法主要执行部门，设立系统运维岗负责系统用户权限管理、部分基本参数设置、系统数据的提取和变更的具体技术实现。其它相关部门应指定专人（简称：数据权限管理员）负责统一按本办法所制定的流程执行相关操作，或通过工作联系单方式提出需要信息技术部或其它相关部门完成的具体工作内容。第五条用户授权和权限管理应采取保守原则，选择最小的权限满足用户需求。第二章系统权限管理第六条系统权限管理由信息技术部系统运维岗和各业务部门数据权限管理员共同协作完成，风险与合规部数据权限管理员负责对业务部门提出的系统权限进行审批，信息技术部系统运维岗负责对权限进行变更。信息技术部系统运维岗拥有系统管理和用户管理权限（信息技术部可以拥有开发测试环境超级用户权限），风险与合规部拥有超级用户权限，风险与合规部数据权限管理员拥有对权限列表进行查询的权限，以方便行使监督职能。

信息系统帐号管理制度

信息系统帐号管理制度第一节总则第一条为加强用户帐号管理，规范公司信息系统用户帐号的使用，确保用户帐号的安全性，特制定本制度。第二条本制度中系统帐号是指应用层面及系统层面（操作系统、数据库、防火墙及其它网络设备）的用户帐号。第三条用户帐号申请、审批及设置由不同人员负责。第四条系统拥有部门负责建立《岗位权限对照表》（附件六）。第五条本制度适用于公司总部和各分、子公司（含郑州研究院）。第二节普通帐号管理第六条申请人使用统一而规范的《帐号/权限申请表》（附件七）提出用户帐号创建、修改、删除/禁用等申请。第七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的普通用户帐号申请进行审批。第八条信息部负责人根据《岗位权限对照表》对系统层面的普通用户帐号申请进行审批。第九条帐号管理人员建立各种帐号的文档记录，记录用户帐号的相关信息，并在帐号变动时同时更新此记录，具体内容见《用户帐号记录》（附件八）。具体流程参见《普通帐号管理流程》（附件一）。第三节特权帐号和超级用户帐号管理第十条特权帐号指在系统中有专用权限的帐号，如备份帐号、权限管理帐号、系统维护帐号等。超级用户帐号指系统中最高权限帐号，如root 等管理员帐号。

号。第十二条信息部每季度查看系统日志，监督特权帐号和超级用户帐号使用情况。第十三条尽量避免特权帐号和超级用户帐号的临时使用，确需使用时必须履行正规的申请及审批流程，并保留相应的文档。第十四条临时使用超级用户帐号必须有监督人员在场记录其工作内容。第十五条超级用户帐号临时使用完毕后，帐号管理人员立即更改帐号密码。具体流程参见《特权帐号和超级用户帐号管理流程》（附件二）。第四节临时帐号管理第十六条使用临时帐号时（如内外部审计人员、临时岗位调动人员），须填写统一的《帐号/权限申请表》（附件七）。第十七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的临时用户帐号申请进行审批。第十八条信息部负责人根据《岗位权限对照表》对系统层面的临时用户帐号申请进行审批。第十九条帐号管理人员负责临时帐号的建立和记录。第二十条临时帐号使用完毕后，申请人及时通知帐号管理人员注销临时帐号。具体流程参见《临时访问帐号管理流程》（附件三）。第五节紧急帐号管理第二十一条根据紧急事件的等级建立相应权限的紧急帐号，专门处理紧急事件。第二十二条帐号管理人员负责紧急帐号的下发和记录。第二十三条紧急帐号使用人员必须在事件处理完毕后补办相关手续。第二十四条紧急帐号使用完毕后，紧急帐号使用人员及时通知帐号管理人员禁

访问控制策略V1.0

北京华胜天成科技股份有限公司管理体系文件Array 2009年03月01日发布2009年03月01日生效

目录 1 目的 (1) 2 适用范围 (1) 3 术语表 (1) 4 访问控制方针 (1) 4.1 通用方针 (1) 4.2 网络访问控制 (2) 4.2.1 网络区域划分 (2) 4.2.2 网络区域隔离 (2) 4.3 身份授予与鉴别 (2) 4.3.1 账户管理 (2) 4.4 外部信息交换控制 (3) 4.4.1 公开信息披露 (3) 4.4.2 外部信息交换 (3) 5 相关过程、模板、指导、检查表 (3)

1目的访问控制方针旨在基于华胜天成的业务需求，为信息资产的访问控制制定方针原则。各信息安全控制措施的选择和实施，以及信息安全管理规定的编写，应依据本方针进行。 2适用范围本方针适用于华胜天成信息安全管理体系范围内的各类型访问控制，包括但不限于：信息资产访问控制；权限及密码管理；网络访问控制；物理安全访问控制；应用系统访问控制等。 3术语表 4访问控制方针访问控制应依据以下两个原则进行：最小授权原则当没有明确授予访问权限时，应为禁止访问。应仅对用户授予他们开展业务活动所必需的访问权限。需要时获取访问权限应仅当使用者必须要访问信息时授予。 4.1 通用方针信息安全的访问控制，应基于分级的原则。在不同级别之间，应设置访问控制措施；访问控制角色应进行分离，包括如下角色： ?访问请求 ?访问授权 ?访问管理 ?访问控制审计；访问控制应包括如下管理过程： ?访问控制措施的部署； ?访问控制权限的申请、审批及授予

医院信息系统用户和权限管理制度

信息系统用户和权限管理制度 1．目的：为了加强安全管理，提高信息系统服务质量，更好地规范管理提供高质量的信息化服务；同时也为了信息管理中心更好地与其他部门协调工作，明确系统使用人员的工作范围、工作内容、工作职责，特制定本制度，供全院工作参照执行。 2．适用范围：全院各职能、临床、医技及窗口科室。 3．职责：本制度中的准则制度及要求，是指我院内外网信息系统。 4．标准第一章总则第一条为加强信息系统用户账号和权限的规范化管理，确保各信息系统安全、有序、稳定运行，防范应用风险，特制定本制度。第二条本制度适用于我院信息系统，以及以用户口令方式登录的网络设备、网站系统等。第三条信息系统用户、角色、权限的划分和制定，以人事科对人员职能定位和各科室内部分工为依据。第四条我院协同办公系统用户和权限管理由办公室负责，其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。第五条信息系统用户和权限营理的基本原则是。（一）用户、权限和口令设置由系统管理员全面负责。（二）用户、权限和口令管理必须作为日常工作的强制性技术标准或要求。（三）用户、权限和口令管理采用实名制管理模式。（四）严禁杜绝一人多账号登记注册。

第二章管理职责第七条系统管理员职责负责我院信息系统的日常管理维护。包括创建各类申请用户、用户管理、为用户分配经授权批准使用的业务系统。为用户授权及系统日常维护。为系统用户提供操作培训和技术指导，使其有权限实施相应业务信息管理活动。第八条用户职责用户须严格管理自己用户名和口令，遵守保密性原则，除获得授权或另有规定外，不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息，即实名制登记。第三章用户管理第九条用户申请和创建（一）申请人在人事科填写基本情况，提交人事负责人批准；（二）由人事部门确认申请用户的身份权限，并分配用户工（三）信息系统管理部门接到通知后，由系统管理员创建用户或者变更权限。（四）系统管理员将创建的用户名、口令告知申请人本人，并要求申请人及时变更口令；（五）系统管理员将相关文件存档。第四章安全管理第十二条使用各信息系统应严格执行国家有关法律、法规，遵守医院的规章制度，确保国家秘密和医院利益安全。第十三条口令管理（一）系统管理员创建用户时，应为其分配独立的初始密码'并单独告知申请人。