信息系统口令、密码和密钥管理
1范围
本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。
本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
1994 国务院中华人民共和国计算机信息系统安全保护条例
国务院273号令商用密钥管理条例
1998 国家保密局中华人民共和国计算机信息系统保密管理暂行规定
2000 国家保密局中华人民共和国计算机信息系统国际联网保密管理规定
2003 公司网络与信息安全管理办法(试行)
2006 公司信息网防病毒运行统计管理规范(试行)
2006 公司信息网用户行为规范(试行)
3术语与定义
以下术语和定义适用于本标准。
3.1
信息系统
信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通讯设备为基本传输工具,且能为管理决策提供信息服务的人机系统。即,信息系统是一个由人和计算机等组成的,能进行管理信息的收集、传输、存储、加工、维护和使用的系统。
3.2
密钥
密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。密钥是密码技术中的重要组成部分。在密码系统中,密钥的生成、使用和管理至关重要。密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。
4职责
4.1 信息中心职责
4.1.2 信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管,指导相关部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。
4.2 信息中心各专职职责
4.1.3 网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。
4.1.4 主机管理员负责主机、数据库系统的账号、口令的设置和更改。
4.1.5 应用系统管理员负责应用系统的账号、口令的设置和更改。
4.1.6 网络信息安全员负责管理和监督检查信息网络的安全工作,参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实,以及网络系统各类分析、统计报告的编制和上报工作。
5管理内容与要求
5.1 主机与网络设备(含安全防护系统)口令、密码管理
5.1.1 各类主机、网络设备应有明确的管理员负责管理,管理员负责其管辖范围的账号、口令的设置和更改。
5.1.2 各类主机的超级用户口令和网络设备配置口令必须定期更换,更换周期不得超过1个月。
5.1.3 各管理员应将口令用信封封存后交网络信息安全员统一保管,如遇管理员出差等情况需打开信封,必须征得信息中心主管同意后方可打开信封使用口令,管理员回来后及时更改口令并重新封存。口令的保存、更改和开封启用均要有详细记录。严禁私自启封。5.1.4 更换账号、口令后,必须立即提交新的密封件交网络信息安全员保管,并重新进行登记,旧的密封件当面销毁。
5.1.5 不同权限人员应严格保管、保密各自职责的口令,严格限制使用范围,不得向非相关人员透露,原则上不允许多人共同使用一个帐户和口令。系统管理员不得拥有数据库管理员(DBA)的权限;数据库管理员不得同时拥有系统管理员的权限;数据库管理员应为不同的不同应用系统的数据库建立不同的用户并仅作为该应用数据库的管理员,不同应用数
据库的管理员一般不能具备访问其他应用数据库的权限。系统上线后,必须删除测试帐户,严禁系统开发人员掌握系统管理员口令。
5.1.6 软件开发商在开发应用软件期间,应充分考虑应用软件的安全设计,设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中。访问数据库的用户名和口令不能固化在应用软件中或直接写在数据库中。口令必须能方便地配置、修改和加密。按照人员进行口令分配和认证,不能仅按照角色进行口令分配。对不同用户共享资源进行访问必须进行用户身份的控制和认证。软件开发商在应用软件的移交过程中,必须向运行维护部门提供关于应用软件的安全设计文档和用户名、口令和配置方案;运行维护部门在应用软件接收过程中必须全面掌握软件的设计并对其进行全面评估,评估合格后,由运行维护部门重新设定用户名和口令,方能上线运行。
5.1.7 因应用软件的升级或修改需要临时授权时,开发人员必须以书面的形式申请,并得到信息中心主管及以上的人员同意方可授权,维护结束后,相关管理人员必须立即删除用户或更改口令。
5.2 应用系统的口令、密码和密钥管理
5.2.1 各应用信息系统的主管部门对于重要应用系统必须建立相应操作人员口令、密码和密钥管理制度,分清各级操作人员职责。
5.2.2 应用系统应实行权限分散原则。明确系统管理员、系统操作员、程序员等的权限和操作范围,并设置相应的操作口令和密码。
5.2.3 严格限制各类应用系统超级用户的使用范围,操作系统、数据库管理系统、各类应用系统的超级用户口令必须专人掌管,定期更换。重要密码修改要有记录。
5.2.4 所有用户都必须妥善保存好数字证书载体,并对载体的保护口令严格保密,数字证
书不得转借他人。
5.2.5 各级操作人员应有互不相同的用户名和口令,定期更换操作口令。严禁操作人员泄露自己的操作口令,系统口令长度不得少于八个字符,要求字母和数字或特殊字符混合,用户名和口令禁止相同。
5.2.6 应用系统的各类口令和密码必须加密保存,系统不得采用明文方式保存于服务器或客户端计算机的注册表或硬盘文件系统中。
5.2.7 涉密应用系统所采用的各种加解密措施应采用统一的加密算法和密钥管理,并具有权限分级,以适合不同级别的用户存取。同时密钥必须定期更换。
5.3 工作站口令、密码管理
5.3.1 各工作站按要求必须设置开机密码和操作系统管理员密码,并开启屏幕保护中的密码保护功能。妥善保管密码,并定期更改;同时严禁使用人员泄露自己的口令和密码。5.3.2 各工作站不得设置共享目录,原则上使用办公自动化(OA)系统来相互传送文件,如确有必要,则需要为共享目录设置读取密码,以防止无关人员获得相关信息。
5.4 口令的废止
5.4.1 用户因职位变动,而不需使用其原有职责的信息资源,必须移交全部技术资料,明确离岗后的保密义务,并立即更换有关口令和密钥,注销其专用用户。涉及核心部门开发人员调离时,应确认对本系统安全不会造成危害后方可调离。
5.4.2 丢失或遗忘口令,必须向相关口令管理人员申请,必须得到信息中心主任及以上的人员同意方可。
6报告与记录
口令管理台帐(见附录A)。
7检查与考核
7.1 由部门负责人依据本标准进行检查。
7.2 根据《公司职工年度考核管理实施办法》进行考核。
附录 A
(规范性附录)
口令管理台帐口令管理台帐见表A.1。
表A.1口令管理台帐
设备(系统) :
信息系统帐号管理制度 第一节总则 第一条为加强用户帐号管理,规范公司信息系统用户帐号的使用,确保用户帐号的安全性,特制定本制度。 第二条本制度中系统帐号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户帐号。 第三条用户帐号申请、审批及设置由不同人员负责。 第四条系统拥有部门负责建立《岗位权限对照表》(附件六)。 第五条本制度适用于公司总部和各分、子公司(含郑州研究院)。 第二节普通帐号管理 第六条申请人使用统一而规范的《帐号/权限申请表》(附件七)提出用户帐号创建、修改、删除/禁用等申请。 第七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的普通用户帐号申请进行审批。 第八条信息部负责人根据《岗位权限对照表》对系统层面的普通用户帐号申请进行审批。 第九条帐号管理人员建立各种帐号的文档记录,记录用户帐号的相关信息,并在帐号变动时同时更新此记录,具体内容见《用户帐号记录》(附 件八)。具体流程参见《普通帐号管理流程》(附件一)。 第三节特权帐号和超级用户帐号管理 第十条特权帐号指在系统中有专用权限的帐号,如备份帐号、权限管理帐号、系统维护帐号等。超级用户帐号指系统中最高权限帐号,如root 等管理员帐号。
号。 第十二条信息部每季度查看系统日志,监督特权帐号和超级用户帐号使用情况。 第十三条尽量避免特权帐号和超级用户帐号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。 第十四条临时使用超级用户帐号必须有监督人员在场记录其工作内容。 第十五条超级用户帐号临时使用完毕后,帐号管理人员立即更改帐号密码。 具体流程参见《特权帐号和超级用户帐号管理流程》(附件二)。 第四节临时帐号管理 第十六条使用临时帐号时(如内外部审计人员、临时岗位调动人员),须填写统一的《帐号/权限申请表》(附件七)。 第十七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的临时用户帐号申请进行审批。 第十八条信息部负责人根据《岗位权限对照表》对系统层面的临时用户帐号申请进行审批。 第十九条帐号管理人员负责临时帐号的建立和记录。 第二十条临时帐号使用完毕后,申请人及时通知帐号管理人员注销临时帐号。 具体流程参见《临时访问帐号管理流程》(附件三)。 第五节紧急帐号管理 第二十一条根据紧急事件的等级建立相应权限的紧急帐号,专门处理紧急事件。第二十二条帐号管理人员负责紧急帐号的下发和记录。 第二十三条紧急帐号使用人员必须在事件处理完毕后补办相关手续。 第二十四条紧急帐号使用完毕后,紧急帐号使用人员及时通知帐号管理人员禁
信息系统口令、密码和密钥管理 1范围 本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。 本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 1994国务院中华人民共和国计算机信息系统安全保护条例 国务院273号令商用密钥管理条例 1998国家保密局中华人民共和国计算机信息系统保密管理暂行规定 2000国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003公司网络与信息安全管理办法(试行) 2006公司信息网防病毒运行统计管理规范(试行) 2006公司信息网用户行为规范(试行) 3术语与定义 以下术语和定义适用于本标准。 3.1 信息系统
信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通讯设备为基本传输工具,且能为管理决策提供信息服务的人机系统。即,信息系统是一个由人和计算机等组成的,能进行管理信息的收集、传输、存储、加工、维护和使用的系统。 3.2 密钥 密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。密钥是密码技术中的重要组成部分。在密码系统中,密钥的生成、使用和管理至关重要。密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。 4职责 4.1信息中心职责 4.1.2信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管,指导相关部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。 4.2信息中心各专职职责 4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。 4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。 4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。 4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作,参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实,以及网络系统各类分析、统计报告的编制和上报工作。 5管理内容与要求 5.1主机与网络设备(含安全防护系统)口令、密码管理
信息系统口令密码和密钥 管理 The final edition was revised on December 14th, 2020.
信息系统口令、密码和密钥管理 1范围 本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。 本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 1994 国务院中华人民共和国计算机信息系统安全保护条例 国务院273号令商用密钥管理条例 1998 国家保密局中华人民共和国计算机信息系统保密管理暂行规定 2000 国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003 公司网络与信息安全管理办法(试行) 2006 公司信息网防病毒运行统计管理规范(试行) 2006 公司信息网用户行为规范(试行) 3术语与定义 以下术语和定义适用于本标准。 信息系统 信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通讯设备为基本传输工具,且能为管理决策提供信息服务的人机系统。即,信息系统是一个由人和计算机等组成的,能进行管理信息的收集、传输、存储、加工、维护和使用的系统。 密钥 密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。密钥是密码技术中的重要组成部分。在密码系统中,密钥的生成、使用和管理至关重要。密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。4职责 信息中心职责 4.1.2 信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管,指导相关部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。 信息中心各专职职责 4.1.3 网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。 4.1.4 主机管理员负责主机、数据库系统的账号、口令的设置和更改。 4.1.5 应用系统管理员负责应用系统的账号、口令的设置和更改。 4.1.6 网络信息安全员负责管理和监督检查信息网络的安全工作,参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实,以及网络系统各类分析、统计报告的编制和上报工作。
信息系统密码管理规定 第一条为了加强风险管理,强化保密工作,提高公司信息系统得安全性,保障信息系统得正常运行以及业务 数据安全,防止黑客攻击与用户越权访问,防止 公司重要信息得丢失、泄漏与破坏,建立科学、规 范得信息系统密码管理规范,特制定本规定。 第二条本制度所指信息系统密码,包括以下几种类型: 1.公司所有业务系统普通用户密码(包括NC、即时通 讯、上网行为、邮箱、视频会议等业务登录密码); 2.公司所有业务系统权限管理员与系统运维管理员密 码(包括业务系统、网站系统、邮箱系统、安全审计 系统、备份系统、虚拟化系统、防病毒安全系统、 视频会议系统、存储系统等后台管理密码); 3.应用服务器管理密码(包括运行业务系统服务器、 网站服务器、邮件服务器、安全审计系统服务器、 备份系统服务器、虚拟化系统服务器、防病毒安全 系统服务器、存储设备等登录密码); 4.系统数据库管理员密码; 5.其她网络应用及网络系统(路由器、交换机、上网行 为、VPN等)管理员密码; 第三条应用系统服务器、数据库、网络系统,自身包含有完整得多级权限管理体系。这些系统得最高权限 分配得其她权限得密码,也需遵守本规定; 第四条公司业务系统普通用户得密码设置规范要求如下:
1.密码长度不得低于6位; 2.密码必须包含字母(a-z,A—Z)、数字(0-9)、 特殊字符(!#$%^&*)中得两种; 3.密码必须6个月更换一次,并且新密码不得与原密 码相同; 第五条对以下密码: 1.司所有业务系统权限管理员与系统运维管理员密 码; 2.应用服务器管理密码; 3.系统数据库管理员密码; 4.其她网络应用及网络系统管理员密码; 其设置规范,应符合以下要求: 1.密码不得低于8位; 2.密码必须包含大小写字母、数字及特殊符号; 3.密码必须每3个月更换一次,并且新密码不得与原 密码相同; 第六条信息系统密码设置规范得系统控制: 1.应用系统应控制密码得有效期,通过设置,强行要求 用户定期进行密码修改,减少密码被盗用得可能性; 2.用户密码唱得与编码规则限制。强行要求用户密码 符合长度与复杂性要求; 3.系统控制第一次登陆后必须马上更改初始密码; 4.设置用户密码输入错误次数.再密码错误输入三次 后,系统锁定登录用户。用火狐必须通知信息化部
信息系统、信息设备和保密设施设备管理制度 1.信息系统、信息设备和保密设施设备管理总则 1)为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《保密工作概论》、《保密法规汇编》等国家有关规定,结合公司实际,特制定本制度。 2)公司涉密计算机信息系统为单机涉密计算机信息系统,保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则。 3)本规定适用于使用公司涉密计算机信息系统的部门和个人。 4)本制度所称涉密计算机是指公司所属各部门按照本规定明确的程序,经过申报、登记、审定,并在公司保密办公室备案的计算机。信息系统是由计算机及其配套设备、设施构成,按照一定的应用目标和规则存储、处理、传输信息的系统或网络。信息设备是指计算机及其存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。 2.责任分工 1)公司技术部经理负责涉密信息系统、信息设备的保密安全管理工作。涉密信息系统、信息设备的使用部门指定专人负责本部门计算机信息系统安全保密管理,对本部门涉密信息系统的安全保密负主要责任。 2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。 3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。 4)公司各涉密部门需设系统管理员、安全保密员,按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。 3.涉密计算机的确定及变更 1)公司涉密计算机实行申报登记制度。凡涉及国家秘密的单位拟用于处理国家秘密信息的计算机、涉密信息系统必须经过申报、登记、审定,并在公司保密
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
信息系统运维管理制度 为了规范公司信息系统的管理维护,确保系统硬、软件稳定、安全运行,结合公司实际,制定本制度。制度包括信息机房管理、服务器管理、信息系统应用管理、信息系统变更管理、信息系统应用控制。 一、信息机房管理 1、硬件配备及巡检 1.1、各单位信息机房按规定配备防静电地板、UPS、恒温设备、温湿度感应器、消防设备、防鼠设施等相关基础设施。 1.2、各单位机房管理人员应定期(如每月或每季度)对机房硬件设备设施进行巡检,以保证其有效性。 1.3、各单位机房应建立相关的出入登记、设备机历登记、设备巡检、重大故障等记录,并认真填写。 2、出入管理 2.1、严禁非机房工作人员进入机房,特殊情况需经信息中心批准,并认真填写登记表后方可进入。 2.2、进入机房人员应遵守机房管理制度,更换专用工作鞋。 2.3、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。
3、安全管理 3.1、操作人员随时监控中心设备运行状况,发现异常情况应立即按照应急预案规程进行操作,并及时上报和详细记录。 3.2、未经批准,不得在机房设备上随意编写、修改、更换各类软件系统及更改设备参数配置; 3.3、软件系统的维护、增删、配置的更改,必须按规定详细记入相关记录,并对各类记录和档案整理存档。 3.4、机房工作人员应恪守保密制度,不得擅自泄露信息资料与数据。 3.5、机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。 3.6、严禁在机房计算机设备上做与工作无关的事情(如聊天、玩游戏),对外来存储设备(如U盘、移动硬盘等),做到先杀病毒后使用。 3.7、机房严禁乱拉接电源,应不定期对机房内设置的消防器材、烟雾报警、恒温设备进行检查,保障机房安全。 4、操作管理 4.1、机房的工作人员不得擅自脱岗,遇特殊情况离开时,需经机房负责人同意方可离开。 4.2、机房工作人员在有公务离开岗位时,必须关闭显示器;离开岗位1小时以上,必须关闭主机及供电电源。 4.3、每周对机房环境进行清洁,以保持机房整洁;每季度进行一次大清扫,对机器设备检查与除尘。
账号权限及密码管理制度 一、账号权限管理 1.做好系统管理员、业务管理员的备案;同时做好系统用户备案管理。 2.业务管理员需定期检查相关系统的账号权限分配情况,确保落实权限最小 化原则。角色分配应与岗位需求吻合,避免功能扩大。同一账户被赋角色 不得存在功能互相矛盾、嵌套情况。严格控制隐私信息查询、浏览、导出 权限。 3.限制超级账号的使用,并做好相应的使用审计工作。 4.业务管理员应及时解除无用账号相应权限,系统管理员应定期检查并禁用 或注销无用账号。 二、密码产品 1.使用符合国家密码管理规定的密码技术和产品。 2.密码算法和密钥的使用符合国家密码管理规定。 三、密码的设置 1.服务器的密码,由安全管理员和系统管理员商议确定,必须两人同时在场 设定。 2.服务器的密码须安全管理员在场时要由系统管理员记录封存。 3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少 于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密 码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。 4.密码要定期更换:一般重要设备密码更换周期不得多于180天; 四、密码和口令的保存 1.服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人; 若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成 工作后,系统管理员应该及时更改密码,保证密码安全。 2.服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备 案记录交于网络管理中心负责人封存。 3.密码更换后系统管理员需将新密码或口令记录登记封存。 4.如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心 负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查
信 息系统密码管 理规定 为了加强风险管理,强化保密工作,提高公司信息系统的安全性, 保障信息系统的正常运行以及业务数据安全,防止黑客攻击和用户 越权访问,防止公司重要信息的丢失、泄漏和破坏,建立科学、规 范的信息系统密码管理规范,特制定本规定。 员密码; 应用系统服务器、数据库、网络系统,自身包含有完整的多级权限 管理体系。这些系统的最高权限分配的其他权限的密码,也需遵守 本规定; 密码必须包含字母(a-z,A-Z ))数字(0-9 )、特殊字符(!@#$%八& 中 的两种; 第一条 第二条 本制度所指信息系统密码,包括以下几种类型: 1. 公司所有业务系统普通用户密码(包括 NG 即时通讯、上网行为、邮 箱、视频会议等业务登录密码) 2. 公司所有业务系统权限管理员和系统运维管理员密码(包括业务系统、 网站系统、邮箱系统、安全审计系统、备份系统、虚拟化系统、防病毒 安全系统、视频会议系统、存储系统等后台管理密码) 3. 应用服务器管理密码(包括运行业务系统服务器、网站服务器、邮件服 务器、安全审计系统服务器、备份系统服务器、虚拟化系统服务器、防 病毒安全系统服务器、存储设备等登录密码) 4.系统数据库管理员密码; 5. 其他网络应用及网络系统(路由器、交换机、上网行为、 VPN 等)管理 第三条 第四条 公司业务系统普通用户的密码设置规范要求如下: 1. 密码长度不得低于6位; 2.
3.密码必须6个月更换一次,并且新密码不得与原密码相同; 第五条对以下密码: 1. 司所有业务系统权限管理员和系统运维管理员密码; 2. 应用服务器管理密码; 3. 系统数据库管理员密码; 4. 其他网络应用及网络系统管理员密码; 其设置规范,应符合以下要求: 1.密码不得低于8位; 2.密码必须包含大小写字母、数字及特殊符号; 3.密码必须每3个月更换一次,并且新密码不得与原密码相同; 第六条信息系统密码设置规范的系统控制: 1.应用系统应控制密码的有效期,通过设置,强行要求用户定期进行密码 修改,减少密码被盗用的可能性; 2.用户密码唱的和编码规则限制。强行要求用户密码符合长度和复杂性要 求; 3.系统控制第一次登陆后必须马上更改初始密码; 4.设置用户密码输入错误次数。再密码错误输入三次后,系统锁定登录用 户。用火狐必须通知信息化部门解除锁定。 第七条公司引进、购买或者自主幵发的所有业务系统,均按照本办法第六条的要求,完善密码管理功能模块。 第八条所有业务系统各类用户可自行修改密码。密码应妥善保管,不得公幵或告知他人。如果遗忘,应及时联系信息化相关管理人员重新设 置。 第九条信息系统服务器操作系统管理员、系统数据库管理员和公司网络服务器管理员密码应由不同人员分别掌控。
信息系统账号管理制度 第一节总则 第一条为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户账号。 第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理。 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。 第五条信息中心根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。 第六条用户账号申请、审批及设置由不同人员负责。 第二节普通账号管理 第七条申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、删除/禁用等申请。 第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致,确保权限分配的合理性、必 要性和符合职责分工的要求。 第九条在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号或禁用用户账号权限,以使用户对其行为 负责。一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的 账号。 第十条新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。 第十一条人员离职的情况下,该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后,人力资源部需通过邮件或书面的方式通知员工所属部门主
管负责该员工权限收回的工作。员工所属部门主管根据该用户的岗位申请 删除离职人员账号及权限。 第十二条账号管理人员建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。 第三节特权账号和超级用户账号管理 第十三条特权账号指在系统中有专用权限的账号,如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号,如administrator (或admin)、root等管理员账号。 第十四条只有经授权的用户才可使用特权账号和超级用户账号,严禁共享账号。 第十五条信息中心每季度查看系统日志,监督特权账号和超级用户账号使用情况,并填写《系统日志审阅表》(附件三)。 第十六条尽量避免特权账号和超级用户账号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。 第十七条临时使用超级用户账号必须有监督人员在场记录其工作内容。 第十八条超级用户账号临时使用完毕后,账号管理人员立即更改账号密码。 第四节用户账号及权限审阅 第十九条系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅,并填写《账号/权限清理清单》(附件四)。 第二十条信息中心指定专人负责每季度对系统层面账号及权限进行审阅,并填写《账号/权限清理清单》。 第二十一条员工离职后,账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员,则及时更改特权账号或超级用户口令。
密码使用管理规定 Prepared on 22 November 2020
密码管理制度 一、目的 为确保本单位网络和信息系统的安全平稳运行,保障数据信息安全,特制订此管理制度。 二、适用范围 本制度适用本单位所有工作人员。 三、管理规定 1、本单位计算机登陆帐号、密码管理工作由技术部负责。 2、本管理制度所称的帐号、密码,是指登陆各应用系统、网络设备等各类 计算机软件、硬件系统的用户名和密码。 3、所有人必须提高安全认识,帐号和密码由用户自行保留,不得泄漏或转 借他人使用,不得借用他人帐号;不得利用帐号、密码从事破坏计算机软件系统、硬件系统的活动。 4、各类帐号的密码设置使用如下规则: 、密码字应超过8个字符; 、密码字应由字母和数字组成,重要帐号不要使用仅由字母或者数字组成的口令字; 、避免使用姓名、生日以及其他常用的密码; 5、对网络管理员、系统管理员和系统操作员所用密码需部门负责人在场时 由系统管理员记录封存,由技术部负责保存。
6、技术部有权力检查封存密码的有效性。检查时须由部门负责人启封,并由系统管理员登陆验证。 7、密码及口令要定期更换(视网络具体情况),口令更换周期不得长于三个月,更换后系统管理员要销毁原记录,将新密码或口令记录封存。 8、如发现密码及口令有泄密现象,系统管理员要立刻报告技术部负责人,同时要保护好现场并记录,需接到上级批示后再更换密码和口令。 9、遇到安全问题时,及时汇报上级领导,采取措施及时解决。 10、任何人不得利用各种网络设备或软件技术从事用户帐户及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。 11、网络管理员、系统管理员、操作员调离岗位后一小时内由部门负责人监督检查更换新的密码; 12、侦听、盗用行为一经查实,将提请给予行政处分;行为恶劣、影响面大、造成重大损失的,依法交由公安部门处理。
XXXX公司 账号密码及权限管理制度 1总则 1.1 目的 为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。 1.2 范围 所有使用本公司网络信息系统的人员。 1.3 职责 公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。 1.4 术语和定义 内部网络:是指在本公司内部所有客户端等组成的局域网。包括但不限于OA 系统以及数据库系统等。 2控制内容 1.1 用户注册 ?新用户必须加入域,否则不允许入网。 ?域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名 原则为职工工号。
?一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对 其操作行为负责。 ?用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有 账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规 避风险。 ?系统管理员应定期检查并取消多余的用户账号。 1.2 权限管理 ?行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申 请是否与信息安全策略相违背。 ?特权用户必须按授权程序通过系统等部门主管批准,才可给予相应的权 限。 ?系统管理员应保留所有特权用户的授权程序与记录。 ?权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户 的单独监控。 ?只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。 ?系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授 予权限。 ?对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待 者申请为其办理授审批程序。 1.3 密码的选择 密码的选择应参考以下规则:
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 2.1适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、 应用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 2.2发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 3.1 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份 识别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 4.1总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 4.2总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
4.3总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 4.4负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 5.1帐户、密码的管理: 5.1.1 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 5.1.2 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 5.1.3 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 5.2账户、密码的使用及维护: 5.2.1 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 5.2.2 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
系统账号管理制度第一节总则
第一条为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户账号。第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除/禁 用等的管理。 2、系统层面用户账号的申请、审批、分配、删除/禁 用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原 则,对具体岗位做出具体的权限管理规定。 第五条信息技术部根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。 第六条用户账号申请、审批及设置由不同人员负责。
第二节普通账号管理 第七条申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、删除/禁用等申请。 第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否 与其岗位一致,确保权限分配的合理性、必要性和符 合职责分工的要求。 第九条在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号 或禁用用户账号权限,以使用户对其行为负责。一旦 分配好账号,用户不得使用他人账号或者允许他人使 用自己的账号。 第十条新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。 第十一条人员离职的情况下,该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后,人力资源部需 通过邮件或书面的方式通知员工所属部门主管负责该 员工权限收回的工作。员工所属部门主管根据该用户
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 信息系统权限管理制度(2020 年) Safety management is an important part of production management. Safety and production are in the implementation process
信息系统权限管理制度(2020年) 为了医院信息管理系统数据的安全管理,避免操作权限失控,并防止一些用户利用取得的权限进行不正确的操作,特制定医院信息管理系统权限管理制度,对各科室工作人员操作医院信息管理系统进行严格的管理,并按照各用户的身份对用户的访问权限进行严格的控制,保证我院信息管理系统的正常运转,特制定本管理制度。 一、总则 1.1用户帐号: 登录信息系统需要有用户帐号,相当于身份标识,用户帐号采用人员工号的编排,规则如下: (1)采用员工工号编排。 工号以人事部按顺序规定往后编排提供信息科。 1.2密码: 为保护信息安全而对用户帐号进行验证的唯一口令。
1.3权限: 指在信息系统中某一用户的访问级别和权利,包括所能够执行的操作及所能访问的数据。 二、职责与分工 2.1职能部门: (1)权限所有部门:负责某一个模块的权限管理和该模块的数据安全; a.财务处负责财务收费系统和部分资产系统权限; b.护理部负责病区护士管理系统权限; c.医务部负责医生工作站管理系统的权限; (2)负责指定一个部门权限负责人(建议为科室负责人),对涉及本部门负责权限的新增,变更,注销进行签字审批; (3)本部门人员申请本部门负责权限,需要部门权限负责人签批,签批后由系统管理员设置; 2.2单位权限负责人 (1)负责签批部门间的权限的授予;
1.0目的 为了确保网络安全运行,阻止黑客攻击或非法用户越权防问,防止敏感信息的丢失、泄漏或破坏,保证公司的利益。 2.0适用范围 本规范适用于公司所有应系统、网络设计以及网络终端的密码管理。 3.0定义 4.0职责 4.1 IT部:IT部负责本规范的制定和维护;IT负责本规范的执行与监督。 5.0规范内容 5.1每个系统管理员、维护人员或用户的帐号和密码必须是一一对应的。 5.2 密码最长期限:密码的有效期限根据系统特点在系统内设置,当密码的使用时间达到 或超过此期限时,系统会自动要求用户更改密码。用户应及时按提示更改密码,否则 系统会将用户账号锁定。 5.3强制密码历史:密码不应与原有密码相同,否则就失去了密码期限限制的作用。域用 户只有在更改过3次密码后,才能再次使用以前的密码,但不可使用IT部门交付的初 始密码 5.4 密码最小长度:密码最小长度为6位字符,系统管理员和系统维护人员的密码长度至少 为8位字符。 5.5密码复杂性要求密码至少应包括以下四种字符中的3种:
5.5.1大写英文字符 5.5.2小写英文字符 5.5.3阿拉伯数字 5.5.4特殊符号(如!/$/#/%等) 5.6用户密码不能包含用户名称中的3个或3个以上字符。 5.7以下情况发生后,帐号将被锁定: 5.7.1连续五次输入错误的密码后; 5.7.2超过密码最长期限仍未更改密码; 5.7.3计算机黑客攻击。 当出现用户账号被锁定的提示时,用户应联系IT部处理。 5.8 每个密码所有者都应该确保密码不被他人所知,一旦密码被他人获得,应及时更改密 码或者通知IT部处理。 5.9Active Directory的Administrator用户必须在改名后,由风控组系统管理员保管, 各系统管理员在日常工作使用各自的授权用户名。 6.0 相关表单 7.0附则 本办法由IT部拟定并负责解释,经EMT审批后下发实行。 8.0附件 无
信息系统密码管理规定
信息系统密码管理规定
信息系统密码管理规定 第一条为了加强风险管理,强化保密工作,提高公司信息系统的安全性,保障信息系统的正常运行以及业 务数据安全,防止黑客攻击和用户越权访问,防 止公司重要信息的丢失、泄漏和破坏,建立科学、 规范的信息系统密码管理规范,特制定本规定。第二条本制度所指信息系统密码,包括以下几种类型:1.公司所有业务系统普通用户密码(包括NC、即时通讯、 上网行为、邮箱、视频会议等业务登录密码);2.公司所有业务系统权限管理员和系统运维管理员密码 (包括业务系统、网站系统、邮箱系统、安全审 计系统、备份系统、虚拟化系统、防病毒安全系 统、视频会议系统、存储系统等后台管理密码); 3.应用服务器管理密码(包括运行业务系统服务器、网 站服务器、邮件服务器、安全审计系统服务器、 备份系统服务器、虚拟化系统服务器、防病毒安 全系统服务器、存储设备等登录密码); 4.系统数据库管理员密码; 5.其他网络应用及网络系统(路由器、交换机、上网行 为、VPN等)管理员密码; 第三条应用系统服务器、数据库、网络系统,自身包含有完整的多级权限管理体系。这些系统的最高权限 分配的其他权限的密码,也需遵守本规定;
第四条公司业务系统普通用户的密码设置规范要求如下: 1.密码长度不得低于6位; 2.密码必须包含字母(a-z,A-Z)、数字(0-9)、特殊字 符(!@#$%^&*)中的两种; 3.密码必须6个月更换一次,并且新密码不得与原密码 相同; 第五条对以下密码: 1.司所有业务系统权限管理员和系统运维管理员密码; 2.应用服务器管理密码; 3.系统数据库管理员密码; 4.其他网络应用及网络系统管理员密码; 其设置规范,应符合以下要求: 1.密码不得低于8位; 2.密码必须包含大小写字母、数字及特殊符号; 3.密码必须每3个月更换一次,并且新密码不得与原密 码相同; 第六条信息系统密码设置规范的系统控制: 1.应用系统应控制密码的有效期,通过设置,强行要求 用户定期进行密码修改,减少密码被盗用的可能 性; 2.用户密码唱的和编码规则限制。强行要求用户密码符 合长度和复杂性要求; 3.系统控制第一次登陆后必须马上更改初始密码; 4.设置用户密码输入错误次数。再密码错误输入三次后,
密码使用管理规定集团公司文件内部编码:(TTT-UUTT-MMYB-URTTY-ITTLTY-
密码管理制度 一、目的 为确保本单位网络和信息系统的安全平稳运行,保障数据信息安全,特制订此管理制度。 二、适用范围 本制度适用本单位所有工作人员。 三、管理规定 1、本单位计算机登陆帐号、密码管理工作由技术部负责。 2、本管理制度所称的帐号、密码,是指登陆各应用系统、网络设备等各类计算机软 件、硬件系统的用户名和密码。 3、所有人必须提高安全认识,帐号和密码由用户自行保留,不得泄漏或转借他人使 用,不得借用他人帐号;不得利用帐号、密码从事破坏计算机软件系统、硬件系统的活动。 4、各类帐号的密码设置使用如下规则: 4.1、密码字应超过8个字符; 4.2、密码字应由字母和数字组成,重要帐号不要使用仅由字母或者数字组成的口令 字; 4.3、避免使用姓名、生日以及其他常用的密码; 5、对网络管理员、系统管理员和系统操作员所用密码需部门负责人在场时由系统管 理员记录封存,由技术部负责保存。 6、技术部有权力检查封存密码的有效性。检查时须由部门负责人启封,并由系统管 理员登陆验证。
7、密码及口令要定期更换(视网络具体情况),口令更换周期不得长于三个月,更换后系统管理员要销毁原记录,将新密码或口令记录封存。 8、如发现密码及口令有泄密现象,系统管理员要立刻报告技术部负责人,同时要保护好现场并记录,需接到上级批示后再更换密码和口令。 9、遇到安全问题时,及时汇报上级领导,采取措施及时解决。 10、任何人不得利用各种网络设备或软件技术从事用户帐户及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。 11、网络管理员、系统管理员、操作员调离岗位后一小时内由部门负责人监督检查更换新的密码; 12、侦听、盗用行为一经查实,将提请给予行政处分;行为恶劣、影响面大、造成重大损失的,依法交由公安部门处理。
信息系统密码管理办法 第一章总则 第一条密码是验证系统用户身份和权限的常用手段之一,被广泛用于计算机用户及服务权限的识别与认证,优质的密码有利于保障信息系统被合法使用。为有效控制医院信息科技风险,加固系统安全,防止未经授权的访问与操作,特制订本管理办法。 第二条信息系统用户被识别和认证的强度与其访问内容的敏感性和重要性相关。用户可访问和操作的事项越敏感、重要程度越高,则其受保护的强度也就越大。通常来说,系统级的用户比普通的访问用户的敏感性更高,对其密码的保护强度也越大。 第三条本管理办法适用于**县**医院管辖范围内的各类信息系统的密码设置管理。 第二章组织机构与职责 第四条信息系统管理部门包括:信息科和信息系统对口业务部门。信息科和对口业务部门在进行信息系统开发和维护时,应充分地考虑通过采用适当的密码策略使系统的各类合法用户的访问能够得到合理和适度的保障。 第五条对于**县**医院的各类信息系统密码设置管理,信息科应主导信息系统对口业务部门采用适当的密码策略,包括:
(一)在新信息系统开发阶段,必须依据系统访问控制的要求部署强有力的密码策略。 (二)在现行信息系统运营维护阶段,应依据密码安全管理基本要求完善密码管理及使用流程,同时可针对信息安全级别高的系统单独制定高于本策略要求的密码管理制度及规范,以保护医院各类信息资产的安全。 第三章信息系统密码设置及控制措施 第六条**县**医院信息系统用户包含内部用户和信息系统外部用户: (一)信息系统内部用户分为系统级用户和普通级用户,系统级用户是指信息科和信息系统对口业务部门的系统管理人员;普通级用户为**县**医院各信息系统的内部合法用户。 (二)信息系统外部用户为**县**医院对外提供的各类业务服务系统涉及密码设置和使用的合法客户。 第七条对于各类内部用户,信息系统管理部门在进行用户密码设置和管理时,应在系统中设定密码相关控制措施:(一)应强制内部用户使用优质密码,并使用监控工具检查密码的强度和长度是否合格:用户密码长度至少含有8个字符,应同时包括字母和非字母字符(数字或特殊字符等)。 (二)对于现行重要信息系统,因为信息系统自身限制导致密码强度和长度暂不能达到要求的情况,应在该重要信息系统进行变更或升级换代时满足密码强度和长度的要求,同时对于未能达到要求的事项信息科应予以记录并归档。
系统用户和权限管理制度 第一章总则 第一条为加强系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的客户端。 第三条系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。 第四条协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须按照要求进行分配管理。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第七条系统管理员职责 创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为用户授权和操作培训和技术指导。 第八条用户职责 用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第三章用户管理 第十条用户申请和创建 (一)申请人填写基本情况,提交本部门负责人; (二)部门负责人确认申请业务用户的身份权限,并在《用户账号申请和变更表》确认。
(三)经由部门经理进行审批后,由系统管理员创建用户或者变更权限。 (四)系统管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令; (五)系统管理员将《用户账号申请和变更表》存档管理。 第十一条用户变更和停用 (一)人力资源部主管确认此业务用户角色权限或变更原因。 (二)执行部门主管确认此业务用户角色权限或变更原因。 (三)系统管理员变更 系统管理员变更,应及时向上级系统管理员报告,并核对其账户信息、密码以及当时系统中的各类用户信息及文档,核查无误后方可进行工作交接。新任系统管理员应及时变更账户信息及密码。 (四)业务管理员变更 业务变更应及时向本级管理或上级业务管理报告,上级业务管理和系统管理员及时变更业务管理信息。 (五)用户注销 用户因工作岗位变动,调动、离职等原因导致使用权限发生变化或需要注销其分配账号时,应填写《用户账号申请和变更表》,按照用户账号停用的相关流程办理,由系统管理员对其权限进行注销。 第四章安全管理 第十二条使用各信息系统应严格执行国家有关法律、法规,遵守公司的规章制度,确保国家秘密和企业利益安全。 第十三条口令管理 (一)系统管理员创建用户时,应为其分配独立的初始密码,并单独告知申请人。 (二)用户在初次使用系统时,应立即更改初始密码。 (三)用户应定期变更登陆密码。 (四)用户不得将账户、密码泄露给他人。 第十四条帐号审计 账号审计工作由信息系统管理部门的负责人或者主管进行审计,并应定期向其领导进行汇报,由场信息系统管理部门负责人定期和不定期检查。 第十五条应急管理 (一)用户及业务管理员账户信息泄露遗失 用户及业务管理员账户信息泄露遗失时,.应在24小时内通知本级系统管理员。本级系统管理员在查明情况前,应暂停该用户的使用权限,并同时对该账户所报数据进行核查,待确认没有造成对报告数据的破坏后,通过修改密码,恢复该账户的报告权限。