网络信息访问控制制度 10.1 访问控制要求 10.1.1 访问控制管理办法 第165条 所有系统和应用都必须有访问控制列表,由系统管理者明确定义访问控制规则、用户和用户组的权限以及访问控制机制。访问控制列表应该进行周期性的检查以保证授权正确。 第166条 访问权限必须根据工作完成的最少需求而定,不能超过其工作实际所需的范围。必须按照“除非明确允许,否则一律禁止”的原则来设臵访问控制规则。 第167条 所有访问控制必须建立相应的审批程序,以确保访问授权的合理性和有效性。必须禁用或关闭任何具有越权访问的功能。员工的职责发生变化或离职时,其访问权限必须作相应调整或撤销。 第168条 系统自带的默认帐号应该禁用或配臵密码进行保护。 10.2 用户访问管理 10.2.1 用户注册 第169条 开放给用户访问的信息系统,必须建立正式的用户注册和注销程序。 第170条 所有用户的注册都必须通过用户注册程序进行申请,并得到部门领导或其委托者的批准。系统
