信息安全策略-特权访问管理策略

《信息安全策略-特权访问管理策略》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、XXXX有限公司XXXX_A_04_19_2009.12特权访问管理策略密级等级：敏感受控状态：受控文件编号：XX_A_04_19_2009.12特权访问管理策略Ver1.02009年12月30日XXXX有限公司本公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。第2页共4页XXXX有限公司XXXX_A_04_19_2009.12特权访问管理策略历史版本编制、审核、批准、发布实施、分发信息记录表版本号编制人/创建日期审

2、核人/审核日期批准人/批准日期发布日期/实施日期分发编号V1.02009/12/302010/1/4原稿////////////////////////////////////第2页共4页XXXX有限公司XXXX_A_04_19_2009.12特权访问管理策略文件更改记录序号更改单号页次更改人日期更改摘要12345678910本标准XX_A_04_19_2009.12本标准依据ISO/IEC27001：2005信息安全管理体系-要求编写。本标准由XXXX有限公司提出起草本标准主要起草人：本标准于2

3、009年12月30日首次发布第2页共4页XXXX有限公司XXXX_A_04_19_2009.12特权访问管理策略特权访问管理策略发布部门总经理室生效时间2009年12月30日批准人文件编号XX_A_04_19_2009.12介绍与普通用户相比，技术支持人员、安全管理员、系统管理员可能有特殊的访问账户权限要求。这些管理性的和特殊访问账户的访问等级比较高，因此对这些账户的批准、控制和监控对于整个安全程序极其重要。目的该策略的目的是为具有特殊访问权限的账号建立创建、使用、控制及其删除的规则。适用范围该策

4、略适用于拥有、或者可能会需要信息资源特殊访问权限的所有人员。术语定义略特权访问管理策略n在所有用户获得访问账号前，应签署一份不泄密协议；n所有管理性的/特殊访问账户的用户必须接受培训并获得授权；n每一个使用管理性的/特殊访问账号的个人都必须避免滥用权力，并且必须在总经理室的指导下使用；n每一个使用管理性的/特殊访问账号的个人必须以最适宜所执行的工作的方式行使账号权力；n每一个管理性的/特殊访问账户必须满足口令策略的要求；n共有的管理性的/特殊访问账号的口令在人员离职或发生变更时必须更改；n当因内外

5、部审核、软件开发、软件安装或其他规定需求而需要特殊访问账号时，账号：²必须被授权；²创建的日期期限必须明确；²工作结束时必须删除。惩罚违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。引用标准略第2页共4页