授权和访问控制
所有IT资源都应以一种仅允许个人完成分配给他们的任务所需的最小特权的方式进行配置。必须定期审查分配给个人的特权,并在与大学的身份变化后修改或撤销。
- 必须应用访问控件,以限制个人以无限制的方式修改生产数据的能力,或者访问他们没有理由访问的数据。
- 访问控件必须允许个人以管理批准的方式修改生产数据。
- 访问控件应包括锁定功能(自动化高度首选),包括最大数量的连接或登录尝试和锁定时间持续时间。
- 当在温尼伯大学(University of Winnipeg)履行个人就业范围之外(包括参加大学的学生)之外的测试或试图妥协内部控制措施,除非提前并由技术解决方案中心执行董事执行董事书写,否则将被禁止。亚愽国际app下载
所有授权的第三方,包括承包商,顾问或其他非雇员,才必须在IT资源所有者或指定确定他们有合法的业务需求时才能获得IT资源的访问权限。这些特权必须仅在完成批准任务所需的时间段内启用,然后在完成这些任务后立即禁用