信息系统访问控制策略.docx

信息系统访问控制策略 账户管理 身份授予与鉴别是对访问医院资源的用户富裕身份并在用户访问资源时进行身份鉴别，目的是保证访问网络系统资源的用户是合法的。关于身份授予与鉴别政策定义如下： 应基于不同业务的需求对访问医院内部用户分别建立账户的授予与撤销管理措施和执行过程。 授予用户的身份应是唯一的，即一个用户账户唯一地对应一个用户，不允许多人共享一个账户。 对任何用户的登录应进行身份鉴别。身份鉴别的方法应根据用户所处的环境的风险确定。 对重要数据的访问保证有足够的口令强度和防攻击能力，用户必须使用符合安全要求的口令，并妥善保护口令。 信息系统的所有者应维护特权账户的清单和对应使用人员，并至少每三个月对特权账号进行回顾。 信息安全的访问控制，应基于分级的原则。在不同级别之间，应设置访问控制措施； 访问控制角色应进行分离，包括如下角色： 访问请求 访问授权 访问管理 信息系统访问控制策略全文共2页，当前为第1页。访问控制应包括如下管理过程： 信息系统访问控制策略全文共2页，当前为第1页。 访问控制措施的部署； 访问控制权限的申请、审批及授予 访问控制权限的撤销 网络访问控制 网络区域划分与隔离室