資源描述:
《資訊安全管理文件管理程序書 -》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、基隆市教育網(wǎng)路中心存取控制管理程序書機(jī)密等級(jí):一般文件編號(hào):NC-KL-B-008版次:1.4發(fā)行日期:101.11.13修 訂 紀(jì) 錄版次修訂日期修訂頁(yè)次修訂者修訂內(nèi)容摘要1.02008/1/18王言俊初版1.12008/12/12P1、P2王言俊2適用範(fàn)圍、4名詞定義格式1.22010/11/51.封面2.內(nèi)文頁(yè)首王言俊修改機(jī)密等級(jí)。由限閱改為一般。1.32012/11/5P2、P8王言俊5.1.7、6.1修改「電腦處理個(gè)人資料保護(hù)法」為「?jìng)€(gè)人資料保護(hù)法1.42012/11/13P5、P8王
2、言俊修改5.3.9為使用者帳號(hào)清查及存取權(quán)限應(yīng)定期審查,週期不得超過1年,並登載於「帳號(hào)清查結(jié)果報(bào)告」。增加6.4「帳號(hào)清查結(jié)果報(bào)告」存取控制管理程序書文件編號(hào)NC-KL-B-008機(jī)密等級(jí)一般版本1.4目錄1目的12適用範(fàn)圍13權(quán)責(zé)14名詞定義15作業(yè)說明25.1存取控制政策25.2帳號(hào)與密碼管理35.3使用者存取管理45.4作業(yè)系統(tǒng)存取控制55.5應(yīng)用系統(tǒng)之存取控制65.6網(wǎng)路存取控制65.7遠(yuǎn)端存取之限制75.8資料庫(kù)存取控制75.9系統(tǒng)被入侵時(shí)的異常處理76相關(guān)文件8存取控制管理程序書文
3、件編號(hào)NC-KL-B-008機(jī)密等級(jí)一般版本1.41目的為保護(hù)資訊資產(chǎn),降低未經(jīng)授權(quán)存取系統(tǒng)之風(fēng)險(xiǎn),以達(dá)成本中心安全控管之目的。2適用範(fàn)圍本程序書適用本中心機(jī)房處理TANet業(yè)務(wù)活動(dòng)之維運(yùn)作業(yè)的相關(guān)服務(wù)與設(shè)備之存取控制。3權(quán)責(zé)本中心相關(guān)人員、約聘人員與委外廠商人員:遵守本程序書之相關(guān)規(guī)定,以確保本中心相關(guān)軟體與資料等資訊資產(chǎn)之安全。4名詞定義4.1機(jī)密性(Confidentiality):確保只有經(jīng)授權(quán)的人,才可以存取資訊。4.2完整性(Integrity):確保資訊與處理方法的正確性與完整性。
4、4.3可用性(Availability):確保經(jīng)授權(quán)的使用者在需要時(shí)可以取得資訊及相關(guān)資產(chǎn)。4.4可接受風(fēng)險(xiǎn)值:各類資訊資產(chǎn)之最低風(fēng)險(xiǎn)容忍度。4.5殘餘風(fēng)險(xiǎn)(ResidualRisk):在採(cǎi)用相關(guān)控制措施之後剩餘的風(fēng)險(xiǎn)。4.6威脅(Threat)可能對(duì)系統(tǒng)或組織造成傷害之意外事件。4.7弱點(diǎn)(Vulnerability)8存取控制管理程序書文件編號(hào)NC-KL-B-008機(jī)密等級(jí)一般版本1.4因資訊資產(chǎn)本身狀況或所處環(huán)境之下,可能受到威脅利用而造成資產(chǎn)受到損害之因子。1.1風(fēng)險(xiǎn)(Risk)可能對(duì)團(tuán)
5、體或組織的資產(chǎn)發(fā)生損失或傷害的潛在威脅,通常利用弱點(diǎn)所產(chǎn)生之影響及發(fā)生可能性來衡量。5作業(yè)說明5.1存取控制政策5.1.1資訊資產(chǎn)之存取應(yīng)與本身業(yè)務(wù)相關(guān)之範(fàn)圍為主,任何人未經(jīng)授權(quán)不得存取業(yè)務(wù)範(fàn)圍外之資訊資產(chǎn)。5.1.2應(yīng)正確地使用資訊資產(chǎn),以維護(hù)資訊資產(chǎn)之可用性、完整性與機(jī)密性。5.1.3非因業(yè)務(wù)需求不得將系統(tǒng)存取帳號(hào)提供給外部人員,若因業(yè)務(wù)需要開放帳號(hào)予外部人員,應(yīng)有適當(dāng)安全控管措施,該安控措施應(yīng)考量業(yè)務(wù)需求及資訊資產(chǎn)之機(jī)密性,授與適當(dāng)之存取權(quán)限及有效日期。5.1.4被賦予系統(tǒng)管理最高權(quán)限之人
6、員及掌理重要技術(shù)及作業(yè)控制之特定人員,應(yīng)經(jīng)審慎之授權(quán)評(píng)估。5.1.5因處理系統(tǒng)當(dāng)機(jī)與異常狀況需視狀況授與適當(dāng)存取權(quán)限,並避免共用帳號(hào)。5.1.6可攜帶式電腦儲(chǔ)存媒體,例如:筆記型電腦、隨身碟、光碟、磁帶等,應(yīng)採(cǎi)取適當(dāng)管控措施,防止未經(jīng)授權(quán)資料、系統(tǒng)、網(wǎng)路存取或病毒傳播。5.1.7資料、資訊之存取,必須符合「?jìng)€(gè)人資料保護(hù)法」及「智慧財(cái)產(chǎn)權(quán)」等相關(guān)法規(guī)之法令規(guī)定,或契約對(duì)資料保護(hù)及資料存取使用管控之權(quán)責(zé)規(guī)定。8存取控制管理程序書文件編號(hào)NC-KL-B-008機(jī)密等級(jí)一般版本1.45.1.1公用程式路
7、徑之存取權(quán)限應(yīng)適當(dāng)控管,禁止一般使用者存取。5.1.2針對(duì)無人看管的資訊資產(chǎn)設(shè)備,應(yīng)有適當(dāng)控管程序,以防經(jīng)未授權(quán)之存取或?yàn)E用。5.1.3個(gè)人桌上型電腦、可攜式電腦應(yīng)設(shè)定於一定時(shí)間不使用或離開後,應(yīng)自動(dòng)清除螢?zāi)簧系馁Y訊並登出或鎖定系統(tǒng),以避免被未授權(quán)之存取。5.2帳號(hào)與密碼管理5.2.1新購(gòu)置之應(yīng)用軟體或系統(tǒng),安裝完成後應(yīng)立即更新預(yù)設(shè)之密碼,並刪除或關(guān)閉不必要之帳號(hào)。5.2.2使用者帳號(hào)管理5.2.2.1使用者帳號(hào)申請(qǐng)應(yīng)填寫「資訊服務(wù)申請(qǐng)表」,經(jīng)部門主管核準(zhǔn)後,由帳號(hào)管理人員進(jìn)行使用者帳號(hào)建立作業(yè)
8、。5.2.3管理者帳號(hào)5.2.3.1系統(tǒng)管理者應(yīng)避免共用系統(tǒng)管理者帳號(hào),系統(tǒng)管理者帳號(hào)與密碼應(yīng)存放於安全之處。5.2.3.2系統(tǒng)管理者密碼設(shè)置,至少7碼,且應(yīng)符合密碼設(shè)置原則(密碼應(yīng)同時(shí)包含英文字母及數(shù)字)。5.2.4密碼管理5.2.4.1使用者首次使用系統(tǒng)時(shí),應(yīng)立即更改密碼設(shè)定,並妥善保管帳號(hào)與維持密碼之機(jī)密性,保存帳號(hào)密碼之檔案應(yīng)以加密方式處理。5.2.4.2使用者應(yīng)避免將帳號(hào)密碼記錄在書面上,張貼在個(gè)人電腦、螢?zāi)换蚱渌菀讻┟孛苤畧?chǎng)所。5.2.4.3使用者禁止共用帳號(hào)密碼。5.2.4.4