账户管理策略
定义
账户:用户ID(有时称为用户名)和密码的任意组合,用于授予授权用户访问计算机、应用程序、网络或任何其他信息或技术资源的权限。
安全管理员:负责监视和实施系统的安全控制和过程的人员。{单位名称} 可能有一名信息安全官,而技术管理层可以指定多名安全管理员。
系统管理员:负责信息系统有效操作和维护的人员,包括实施标准程序和控制以执行组织的安全策略。
概述
计算机账户是用于授予对 {单位名称} 信息系统的访问权限的方法。这些账户提供了一种提供问责制的方法,这是任何计算机安全程序的密钥,用于 {单位名称} 使用。
这意味着创建、控制和监视所有计算机账户对于整个安全程序极为重要。
目的
本策略的目的是为创建、管理、使用和删除账户建立标准,以便于访问{单位名称} 上的信息和技术资源。
受众
本策略适用于 {单位名称} 的员工、董事、志愿者、承包商、顾问、临时工和其他工作人员,包括有权访问任何 {单位名称} 信息系统的第三方附属人员。
策略细节
账户
•创建的所有账户都必须具有适合{单位名称}系统或服务的相关书面请求和签署的管理层批准。
•所有账户都必须使用分配的用户名进行唯一识别。
•不允许在{单位名称}信息系统上使用共享账户。
•请参阅员工休假期间的访问策略,以删除员工在休假或休假期间的访问。
•账户的所有默认密码必须根据{单位名称}密码策略构建。
•所有账户的密码过期时间必须符合{单位名称}密码策略。
•由于技术或安全原因,并发连接可能会受到限制。
•任何员工被解雇的通知后,必须立即禁用所有账户。
账户管理
以下各项适用于系统管理员或指定人员:
•信息系统用户账户的构建应使它们强制执行与个人账户相关的任务所需的最严格的一组权利/特权或访问权限。此外,为了消除利益冲突,应创建账户,以便任何用户都无法授权、执行、审查和审计单个交易。
•所有信息系统账户都将得到积极管理。主动管理包括建立、激活、修改、禁用和从信息系统中删除账户的行为。
•访问控制将通过遵循新员工、员工变更、员工解雇和休假的既定程序来确定。
•所有账户修改都必须具有记录在案的流程,以修改用户账户以适应名称更改和权限更改等情况。
•每月对信息系统账户进行审查,以识别不活跃的账户。如果发现员工或第三方账户在30天内处于非活动状态,则(账户的)所有者及其经理将收到待停用的通知。如果该账户在15 天内继续处于非活动状态,则将被手动禁用。
•当授权的{单位名称}管理层提出要求时,必须提供其所管理系统的账户列表。
•可以进行独立的审计审查,以确保账目得到妥善管理。
原文始发于微信公众号(河南等级保护测评):网络安全策略:账户管理策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论