描述

信息系统帐户类型包括：个人帐户、共享帐户、组帐户、系统帐户、来宾/匿名帐户、紧急帐户、开发者/制造商/供应商帐户、临时帐户和服务帐户。 上面列出的一些帐户管理需求可以通过组织信息系统实现。

信息系统授权用户的识别和访问权限的规定反映了安全计划中其他安全控制的要求。 需要信息系统帐户管理特权的用户接受负责批准此类帐户和特权访问的适当组织人员（例如，系统所有者、任务/业务所有者或首席信息安全官）的额外审查。

组织可以选择按帐户、帐户类型或两者的组合定义访问特权或其他属性。 授权访问所需的其他属性包括，例如，对时间、星期几和起始点的限制。

在定义其他帐户属性时，组织考虑与系统相关的需求（例如，计划维护，系统升级）和任务/业务需求（例如，时区差异，客户需求，远程访问以支持旅行需求）。

不考虑这些因素可能会影响信息系统的可用性。

临时帐户和紧急帐户是供短期使用的帐户。 当需要短期帐户而不需要立即激活帐户时，组织将建立临时帐户作为正常帐户激活程序的一部分。 各组织为应对危机情况和迅速激活帐户的需要而建立紧急帐户。 因此，紧急激活帐户可能会绕过正常的帐户授权流程。 紧急帐户和临时帐户不能与不经常使用的帐户混淆（例如，用于组织定义的特殊任务或在网络资源不可用时使用的本地登录帐户）。 这些帐户仍然可用，不受自动禁用或删除日期的限制。

禁用或停用帐户的条件包括，例如：

1. 当不再需要共享/组、紧急或临时帐户时； 或
2. 当个人被调职或解雇时。 某些类型的信息系统帐户可能需要专门培训。

适用性

信息资源所有者或指定人员负责确保实施本控制中所述的风险缓解措施。

本控制的目标受众包括但不限于所有信息资源所有者和保管人。

实现

TAMU-CC应当:

1. 识别并选择以下类型的信息系统帐户，以支持组织任务/业务功能：在授予信息资源的访问授权之前，需要经过审批流程。 批准流程应记录账户持有人遵守所有使用条款（信息资源相关规则和TAMU-CC信息安全控制）的确认，以及资源所有者或其指定人员授予的授权；
2. 为信息系统客户分配客户经理。 每个人都有一个唯一的登录ID和相关联的帐户，用于问责目的。 角色帐户（例如，guest或visit或）只能在非常有限的情况下使用，并且必须提供个人责任；
3. 为组和角色成员关系建立条件。 Access auth或ization controls are to be modified appropriately as an account holder’s employment 或 job responsibilities change;
4. 为每个帐户指定信息系统的授权用户、组和角色成员、访问授权（即特权）和其他属性（根据需要）；
5. 需要主保管人批准创建信息系统帐户的请求。 需要帐户创建流程来确保只有授权的个人才能访问信息资源。
   1. 个人应能够访问其获得授权的交易和功能；
6. 根据TAMU-CC安全控制目录创建、启用、修改、禁用和删除信息系统帐户。
   1. 需要进程禁用与不再受雇于大学或与大学关联的个人相关的登录id。 如果访问特权仍然有效，则部门（例如，所有者，部门负责人）应证明存在对大学的利益；
   2. 从创建之日起在合理的时间内（由风险管理决策确定）未被访问的所有新登录id将被禁用
   3. 6个月内未被使用/访问的所有登录id将被禁用。 在有一个已建立的单元过程的地方可以有例外。 这些措施应由单位负责人审核和批准。 例外情况的文件应由信息资源所有者或指定人员维护。
   4. 与登录id相关联的密码应符合所有识别和认证安全控制。
7. 监察资讯系统帐户的使用情况；
8. 信息保管人或其他指定人员：
   1. 对于不再被授权访问TAMU信息资源的个人，应建立文件化流程以删除其账户。
   2. 应有一个文件化的流程来修改用户帐户，以适应诸如名称变更、会计变更和许可变更等情况。
   3. 定期审核现有账户，确保账户管理合规。
9. 授权访问信息系统基于：
   1. 有效的访问授权；
   2. 预期的系统使用； 和
   3. 组织或相关任务/业务职能要求的其他属性；
10. 每年审查账户是否符合账户管理要求； 和
11. 建立一个流程，用于在从组中删除个人时重新颁发共享/组帐户凭据（如果已部署）。
12. 保密信息只有经授权的用户才能访问。 包含任何机密信息的信息档案或记录应予以识别、形成文件并予以完整保护。 从一个TAMU-CC部门分配给另一个TAMU-CC部门或从TAMU-CC部门分配给承包商或其他第三方的信息资源，至少应根据提供TAMU-CC部门规定的条件加以保护。
13. TAMU-CC在可能的情况下实现基于角色（例如，学生、员工、第三方、客人）的访问控制或采用安全的单点登录访问云和本地服务（InCommon Federation保证配置文件InCommon）。

修订历史

最后更新日期：2025年2月21日

以前的版本:

• 2023年6月29日
• 2022年5月31日
• 2021年3月25日
• 2019年9月16日