系统权限授予及密码管理办法
信息系统作为资源管理系统,必须有其安全性和职责权限,特制定本管理制度。
一、总则
1.1用户帐号:
登录信息系统需要有用户帐号,相当于身份标识,用户帐号采用人员姓名的缩写或由公司信息中心统一分发,规则如下:
(1)两个汉字的中文名称,采用拼音的全称。
(2)三个汉字的中文名称:采用姓的全拼加上名字的首字母。
如果出现用户帐号重名的情况,出现的第一个重名的情况在用户帐号后面增加一个字母“1”;出现第二个重名的用户帐号,在重名的用户帐号后面增加一个字母“2”;如此类推。
1.2密码:
为保护信息安全而对用户帐号进行验证的唯一口令。
1.3权限:
指在信息系统中某一用户的访问级别和权利,包括所能够执行的操作及所能访问的数据。
二、职责与分工
2.1职能班组:
(1) 权限所有班组:负责某一个模块的权限管理和该模块的数据安全;
a.营业班负责营销系统关于本所的系统权限;
b.维护班负责SF2008标准化作业系统及PMS系统关于本所的系统权限;
c.所负责人管理OA及其它系统的权限;
(2) 负责指定一个部门权限负责人,对涉及本部门负责权限的新增,变更,注销进行提交至公司信息中心操作。;
(3) 本部门人员申请本部门负责权限,需要部门权限负责人签批,签批后由公司信息中心进行设置;
三、用户帐号及密码管理
3.1密码设置及更改:
(1) 第一次登录系统时,用户必须改变事先由管理员分配的密码;
(2) 为避免帐号被盗用,密码长度不小于六位,建议数字与字母结合使用;
(3) 每30天或更短时间内需要重新设定密码;
(4) 对于用户忘记密码的情况,需要按照新用户申请流程处理。
3.2帐号与密码保管:
(1)密码不可告知他人,用户帐号不可转借他人使用;
(2)如操作用户临时不在岗,而有紧急且重要的业务需要用其权限进行处理时,上级可以将该用户的权限临时授予其他用户,公司信息中心按照所负责人的要求的时间更改权限,操作用户回岗时,取消授予其他用户的临时授权;
(3)信息系统用户因离岗或转岗,所拥有的系统用户权限需相应变更时,需在将有本部门权限负责人签字确认提交到公司信息中心处;信息中心对离岗或转岗的帐号进行注销并签字;人事部门方可办理离岗或转岗手续。
3.3责任承担:
帐号的注册所有者应对该帐号在系统中所做的操作结果负全部责任。
四、用户申请\变更\注销流程
4.1用户新增\变更流程:
(1) 由用户本人提出申请;
(2) 申请人所属部门权限负责人核准;
(3)信息中心根据《信息系统用户新增\变更\注销申请表》在系统中进行权限设置;维护用户及权限清单;并通知申请人及其部门权限负责人;
(4) 申请人应在收到通知的当天修改初始口令。
4.2用户注销流程:当用户由于工作变动、调动或离职等原因需要对用户的访问权限进行修改或注销时:
(1)用户填写《信息系统用户新增\变更\注销申请表》并提交本部门权限负责人处;
(2)权限负责人进行签批;
(3)信息中心根据《信息系统用户新增\变更\注销申请表》进行用户的注销,维护用户清单和权限列表,并通知人事部门;
(4)人事部门有信息中心签字表明用户权限已经注销,才能办理离岗或转岗的手续。
系统账户权限管理规范 1.目的 为规范产业公司系统账户、权限管理,确保各使用单位与权限操作间的有效衔接,防止账户与权限管理失控给公司带来利益损失、经营风险。信息系统帐号的合理配置、有效使用、及时变更、安全保密,特制订本规范。 2.适用范围 本规范适用于多公司本部各单位、营销机构。 3.定义 3.1公司:指多媒体产业公司 3.2单位:指公司下属各单位,包含HR中体现为不同人事范围的直属部门、驻外机构。 3.3人事管理:指负责本单位人事信息人员,包括行政机构、驻外分公司人事经理、事业部、生产厂等部门级人事管理岗。 3.4权限管理员:负责本单位信息系统用户集中申请、变更,管理本单位信息系统用户对口的管理人员。包含单位自行开发和管理的信息系统(自行开发系统由所在部门指定系统管理员负责),如营销中心的“DDS”,研究“PDM”也是流程申请的维一发起人。 3.5系统管理员:指系统开发、系统配置管理的IT人员,部分虹信IT顾问为主。也可根据组织架构授权给某业务单位的相关人员,其负责某系统用户和权限的配置管理者。 3.6系统流:指每个系统固定的申请、审批流,原则上由系统管理员或权限管理员配置。 4.部门职责 4.1产业公司负责人: 4.1.1.公司信息系统立项、验收等审批工作。 4.1.2.公司信息系统,信息安全的第一责任人。 4.1.3.公司信息系统组织第一责任人
4.2人事部门: 4.2.1负责在人力资源管理系统(以下简称HR系统)处理人事档案,各单位权限管理员提交的信息系统需求协助。 4.2.2提供各单位的入职、调动、离职信息给信息系统管理部门。 4.2.3协助信息系统部门与人事相关的其它需求。 4.3控制中心: 4.3.1负责发布和制定信息建设规范,并组织通过技术手段或辅助工具管理。4.3.2负责组织周期性清理各信息系统账户。 4.3.3负责信息系统档案的建立。 4.3.4负责信息系统维护、权限配置、权限审核等相关事宜。 4.3.5 4.4用户申请部门和使用单位: 4.4.1各单位第一负责人管理本单位员工,各信息系统账户、权限申请、审核并对信息系统安全负责。定期组织相关人员对部门的信息系统帐号、权限进行清理和检查,申请职责可指定单位专人负责。 4.4.2权限管理员作为各单位信息系统申请的唯一发起人。 4.4.3权限管理员协助单位人事向公司人事部提交本单位入职、调动、离职信息。 4.4.4权限管理员负责本单位员工,各信息系统账户的新增、变更、冻结以及对应系统权限的申请工作。 4.4.5权限管理员负责定期核查本单位员工,对应系统账户的权限,若有偏差及时发起变更申请流程。 4.4.6帐号使用者不得将自己权限交由它人使用,部分岗位因工作需要交由同部门使用时,必须保证其安全和保密工作。 4.5系统操作部门: 4.5.1系统管理员负责对权限管理员提交的申请进行权限操作、审核。 4.5.2系统管理员定期在系统或SSU上获取信息系统的账号、权限分布表,并进行检查,对发现问题和风险的帐号及时告知相关部门并发起相应流程。 4.5.3系统管理员负责对系统故障进行处理或提交集团。 4.5.4系统管理员负责对系统操作手册的解释和编制工作。
信息系统口令、密码和密钥管理 1范围 本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求,以及信息系统口令、密码和密钥管理。 本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 1994国务院中华人民共和国计算机信息系统安全保护条例 国务院273号令商用密钥管理条例 1998国家保密局中华人民共和国计算机信息系统保密管理暂行规定 2000国家保密局中华人民共和国计算机信息系统国际联网保密管理规定2003公司网络与信息安全管理办法(试行) 2006公司信息网防病毒运行统计管理规范(试行) 2006公司信息网用户行为规范(试行) 3术语与定义 以下术语和定义适用于本标准。 3.1 信息系统
信息系统是用系统思想建立起来的,以电子计算机为基本信息处理手段,以现代通讯设备为基本传输工具,且能为管理决策提供信息服务的人机系统。即,信息系统是一个由人和计算机等组成的,能进行管理信息的收集、传输、存储、加工、维护和使用的系统。 3.2 密钥 密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。密钥是密码技术中的重要组成部分。在密码系统中,密钥的生成、使用和管理至关重要。密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。 4职责 4.1信息中心职责 4.1.2信息中心负责信息网系统的服务器、网络设备的口令、密码和密钥的设置和保管,指导相关部门设置应用系统的口令、密码和密钥;指导各用户设置开机口令。 4.2信息中心各专职职责 4.1.3网络安全管理员负责保管网络设备及相关安全防护设备(系统)的账号、口令的设置和更改。 4.1.4主机管理员负责主机、数据库系统的账号、口令的设置和更改。 4.1.5应用系统管理员负责应用系统的账号、口令的设置和更改。 4.1.6网络信息安全员负责管理和监督检查信息网络的安全工作,参加信息网系统事故调查、分析处理和信息网安全事故上报及督促现场安全措施落实,以及网络系统各类分析、统计报告的编制和上报工作。 5管理内容与要求 5.1主机与网络设备(含安全防护系统)口令、密码管理
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
账号权限及密码管理制度 一、账号权限管理 1.做好系统管理员、业务管理员的备案;同时做好系统用户备案管理。 2.业务管理员需定期检查相关系统的账号权限分配情况,确保落实权限最小 化原则。角色分配应与岗位需求吻合,避免功能扩大。同一账户被赋角色 不得存在功能互相矛盾、嵌套情况。严格控制隐私信息查询、浏览、导出 权限。 3.限制超级账号的使用,并做好相应的使用审计工作。 4.业务管理员应及时解除无用账号相应权限,系统管理员应定期检查并禁用 或注销无用账号。 二、密码产品 1.使用符合国家密码管理规定的密码技术和产品。 2.密码算法和密钥的使用符合国家密码管理规定。 三、密码的设置 1.服务器的密码,由安全管理员和系统管理员商议确定,必须两人同时在场 设定。 2.服务器的密码须安全管理员在场时要由系统管理员记录封存。 3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少 于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密 码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。 4.密码要定期更换:一般重要设备密码更换周期不得多于180天; 四、密码和口令的保存 1.服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人; 若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成 工作后,系统管理员应该及时更改密码,保证密码安全。 2.服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备 案记录交于网络管理中心负责人封存。 3.密码更换后系统管理员需将新密码或口令记录登记封存。 4.如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心 负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查
XXXXXX有限公司 管理信息系统权限管理制度 XXX-XX-XX 第一章总则 第一条目的 为规范公司管理信息系统的权限管理工作,明确不同权限系统用户的管理职责,结合公司实际情况,特制定本管理制度。 第二条定义 (一)管理信息系统:包含已经上线的财务会计、管理会计、供应链、生产制造、CRM(客户关系管理)、决策管理和后续上线的所有管理信息系统模块。 (二)权限:在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。 (三)操作员:上述软件系统使用人员。 第三条适用范围 本制度适用于XXXXXX有限公司(以下简称XXXX、公司)、XXXXXXX有限公司、XXXXXX有限公司、XXXXXXXX有限公司。 XXXX股份有限公司控、参股的其他公司,应结合本公司实际情况,参照本制度制定相应管理制度,报XXXX质量信息部备案。 第二章职责划分 第四条管理信息系统管理部门 公司的管理信息系统由质量信息部负责管理和维护,同时也是管理信息系统用户权限的归口管理部门,主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。 第五条管理信息系统操作部门 除管理信息系统管理部门外,其他使用管理信息系统的部门,均为管理信息系统的操作部门,使用人员为各岗位操作员。
具体岗位职责如下: (一)负责岗位信息系统权限的申请及使用,并对权限申请后形成的业务结果负责。 (二)负责所使用模块的数据安全。 第六条管理信息系统系统管理员 管理信息系统的系统管理员由质量信息部指派,并报公司管理层领导备案。 系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份,并定期进行管理信息系统安全审计。 第三章用户权限管理 第七条用户权限申请 各部门依据实际工作情况,当需要新增/变更/注销管理信息系统的用户权限时,可由操作员本人或所在部门领导指派的专人,填写《ERP权限新增/变更/注销申请表》(参附件1)。 第八条用户权限审批 《ERP权限新增/变更/注销申请表》由申请人提交,经所在部门领导、分管领导及质量信息部部门领导审批同意后,报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后,填写申请表中系统管理员之相应内容并存档。 第九条用户权限配置 用户权限审批通过后,系统管理员将在两个工作日内完成权限新增/变更/注销工作,并以电子邮件通知申请人以及部门领导。 第十条用户权限测试 申请人在接到权限开通通知后,须在三个工作日之内完成系统权限测试,如有问题可通过电子邮件(包含问题的文字说明及截图)反馈到系统管理员。系统管理员应及时给予解决,并将处理结果通过电子邮件及时反馈给申请人。 在三个工作日之内无问题反馈的,系统管理员将视此权限设置正确,后续如有问题将按照用户权限申请流程处理。
电子认证服务密码管理规定 第一条 为了规范电子认证服务提供者使用密码的行为,根据《中华人民共和国电子签名法》、《商用密码管理条例》和相关法律、行政法 规的规定,制定本办法。 第二条 国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。省、自治区、直辖市密码管理机构依据本办法承担有关监督 管理工作。 第三条 提供电子认证服务,应当依据本办法申请《电子认证服务使用密码许可证》。 第四条 采用密码技术为社会公众提供第三方电子认证服务的系统(以下 称电子认证服务系统)使用商用密码。电子认证服务系统应当由具有 商用密码产品生产资质的单位承建。 第五条 电子认证服务系统的建设和运行应当符合《证书认证系统密码及其相关安全技术规范》。 第六条 电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。 第七条
申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后,向所在地的省、自治区、直辖市密码管理机构提交下列材料: (一)《电子认证服务使用密码许可证申请表》; (二)企业法人营业执照或者企业名称预先核准通知书的复印件; (三)电子认证服务系统安全性审查相关技术材料,包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明; (四)电子认证服务系统互联互通测试相关技术材料; (五)电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件; (六)电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。 第八条 申请人提交的申请材料齐全并且符合规定形式的,省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐全或者不符合规定形式的,省、自治区、直辖市密码管理机构应当当场或者在5个工作日内一次告知需要补正的全部内容。不予受理的,应当书面通知并说明理由。省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内将全部申请材料报送国家密码管理局。 第九条 国家密码管理局对省、自治区、直辖市密码管理机构报送的材料进行核查,组织对电子认证服务系统进行安全性审查和互联互通测试,并自省、自治区、直辖市密码管理机构受理申请之日起15个工作日内,将安全性审查和互联互通测试所需时间书面通知申请人。电子认证服务系统通过安全性审查和互联互通测试的,由国家密码管理局发给《电子认证服务使用密码许可证》并予以公布;未通过安
账号密码管理办法 为维护网络安全运行,确保公司各项文件资料不受侵害,促进各类密码统一管理,特制订此制度。 一、账号、密码设置对象 1.服务器(域名、阿里云、教师行动网、云平台、中考中招、各部门存档)账号密码等; 2. 公司网站用户(云平台、教师行动网、中考中招)、后台账号等; 3.公司官网、微信、微博等与公司宣传有关的账号、密码; 4. 因工作需要,在政府或第三方机构等网站注册的账号、密码; 5. 需加密的文件资料; 6. 上述未列出的其他与工作有关的账号密码。 二、密码的设置 1.公司各项密码,由直接责任人及部门负责人商议确定,密码可由直接责任人设定,并报部门负责人知晓及备案。 2.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少于8个字符;机密级对象,设置的密码长度不得少于10个字符;设置密码时应尽量避开有规律、易破译的数字或字符组合。 三、密码的修改 1.公司因实际需求,修改(更换)各项密码,须向直接责任人申请,并得到部门负责人同意才允许更改密码。
2.所有离职的员工须履行密码交执程序,及时上交公司各项账户密码。由部门负责人通知相关人员及时修改相应密码。 3.定期更换密码:一般服务器密码更换周期不得超过60天。 四、账号和密码的保存 1.公司设置的各项用户密码由直接责任人自行保存,严禁将各项密码告知他人;若因工作需要必须告知,应按程序请示上级领导,经上级领导批示后方可告知相应密码。一旦对方工作完成,直接责任人必须及时更改密码,确保密码安全。 2.公司的各项密码均由各部门负责人负责建立《密码信息表》(详见附表)、管理保存、及时更新,须将《密码信息表》(详见附表)提交至行政部档案管理员备份。档案管理员按月进行核查。 3.各项密码直接责任人对所管理的密码,严禁通过各种渠道漏密,切勿出现忘记密码、遗失密码等情况。否则,将视情况承担相应工作失职的责任,部门负责人亦将承担部门管理连带责任。 4.如发现密码有泄密迹象或黑客入侵,密码直接责任人应立刻报告上级领导,并严查泄密源头、修补系统漏洞,采取一切可行的方式规避公司损失,并将详细情况以书面形式及时上报上一级领导。 五、处罚 针对上述条款,违反者公司将依据情节轻重给予50元至1000元罚款,情节严重者将移送司法机关。
企业级应用系统权限管理办法(暂行) 一、目的 为加强企业级应用系统权限管理,保证公司应用系统所涉及各类信息安全,不因系统权限设置发生信息泄密事故,特制定本管理办法。 二、适用范围 本办法适用于公司上线的企业级应用系统。 三、权限设置原则 (一)公司各应用系统权限设置分为“功能权限”和“数据权限”。功能权限指应用系统中为完成某项业务所开发的系统功能,“数据权限”指使用某项功能时可获取的数据范围。 (二)功能权限原则上授予各工作岗位,按照岗位从事的业务范围和职责授予该岗位相应的功能权限,处于该工作岗位的员工自动获得该岗位的功能权限;公司总经理、信息化领导小组组长的功能权限为系统中所有查询、统计类权限;各业务主分管领导功能权限为所主分管各业务部门所拥有的查询、统计类权限合集。 (三)数据权限设置分主分管领导、系统管理员、总部部门、项目经理部分别设置。一般情况下,总经理、信息化领导小组组长、系统管理员数据权限为系统所有数据;主分管领导数据权限为所主分管各业务部门数据权限合集;总部部门数据权限为相应系统功能中所有数据;项目数据权限为本项目数据。 (四)企业级应用系统上线时,应同时完成系统权限分配表的签发工作,系统权限设置以权限分配表为依据。 四、岗位人员设置 (一)应用系统中各岗位人员设置,公司有明确规定的,按照公司规定设置。 (二)应用系统中各岗位人员设置,公司无明确规定的,由各单位申报名单,按申报名单设置。 五、权限管理职责 (一)信息化领导小组组长是信息化系统权限管理最高领导,全面负责信息化系统权限管理工作,负责信息化系统权限分配表的批准、签发。 (二)信息管理室作为企业级信息化系统权限管理的牵头部门,负责指定各应用系统系统管理员;负责制定权限分配表,并根据公司管理需要、系统功能调
医院信息化账号和密码管理制度 一、用户管理制度: 1、只有院长有权向信息管理部索取员工的账号和密码。 2、医院员工对本人账号和密码必须遵守以下规定: (1)新员工凭人事科报到单,到信息管理部配置账号和密码;员工离院时:到 信息管理部注销账号和密码;人事科凭信息管理部“已注消账号和密码”的依据同意员工调出或离院;财务科凭信息管理部“已注消账号和密码”的依据结付相关费用。 (2)员工不得将本人的账号和密码告诉其他人或写在任何其他人可得到的 书面资料上,并每隔60天定期修改密码,对有疑问的密码应及时修改。 (3)任何人员不得使用他人的账号和密码,也不得将工作范围内可接触到 的数据告诉其他任何未经授权的人员,并在离开终端时及时退出计算机系统。 (4)密码应至少为六位,可以是字母与数字的组合。 二、系统操作分级管理制度 1、本院系统管理首先确定为管理对象重要级别。从1-3级别区分,以一级为最高等级。不同的级别制定相应的密码权限安全管理方案。 2、一级设备为主数据库服务器和核心网络设备。这些设备的密码保存人为 信息管理部主任与服务器管理员。所能操作人员仅限于服务器最高权限的管理 员。采取统一入口管理。在一些重大操作,必须有文字记录。 3、二级设备主要是普通服务器、接入交换机和数据库密码。密码保存人为 信息管理部主任与信息管理部工作人员。对于一些重大操作,必须有文字记录。 4、三级设备为安装在各使用部门的电脑,密码由相关科室设备负责人自行 保管。 5、对于设备具体分级细则,在遵循以上原则的情况下,细节由信息管理部 内部协商判断而制定。 6、对于密码,数据泄露,造成业务中断,或相关私密数据泄露。将临时通 过技术手段保护与监控相应设备。待问题解决后。整理所有相关数据整理后上报医院存档。
系统账户权限管理规范 1.目的为规范产业公司系统账户、权限管理,确保各使用单位与权限操作间的有效衔接,防止账户与权限管理失控给公司带来利益损失、经营风险。信息系统帐号的合理配置、有效使用、及时变更、安全保密,特制订本规范。 2.适用范围本规范适用于多公司本部各单位、营销机构。 3.定义 3.1公司:指多媒体产业公司 3.2单位:指公司下属各单位,包含HR中体现为不同人事范围的直属部门、驻外机构。 3.3人事管理:指负责本单位人事信息人员,包括行政机构、驻外分公司人事经理、事业部、生产厂等部门级人事管理岗。 3.4权限管理员:负责本单位信息系统用户集中申请、变更,管理本单位信息系统用户对口的管理人员。包含单位自行开发和管理的信息系统(自行开发系统由所在部门指定系统管理员负责),如营销中心的“ DDS”,研究“ PDM”也是流程申请的维一发起人。 3.5系统管理员:指系统开发、系统配置管理的IT 人员,部分虹信IT 顾问为主。也可根据组织架构授权给某业务单位的相关人员,其负责某系统用户和权限的配置管理者。 3.6 系统流:指每个系统固定的申请、审批流,原则上由系统管理员或权限管理员配置。 4.部门职责 4.1产业公司负责人: 4.1.1.公司信息系统立项、验收等审批工作。 4.1.2.公司信息系统,信息安全的第一责任人。 4.1.3.公司信息系统组织第一责任人 4.2人事部门:
4.2.1负责在人力资源管理系统(以下简称HR 系统)处理人事档案,各单位权限管理员提交的信息系统需求协助。 4.2.2提供各单位的入职、调动、离职信息给信息系统管理部门。 4.2.3协助信息系统部门与人事相关的其它需求。 4.3控制中心: 4.3.1负责发布和制定信息建设规范,并组织通过技术手段或辅助工具管理。 4.3.2负责组织周期性清理各信息系统账户。 4.3.3负责信息系统档案的建立。 4.3.4负责信息系统维护、权限配置、权限审核等相关事宜。 4.3.5 4.4 用户申请部门和使用单位: 4.4.1各单位第一负责人管理本单位员工,各信息系统账户、权限申请、审核并对信息系统安全负责。定期组织相关人员对部门的信息 系统帐号、权限进行清理和检查,申请职责可指定单位专人负责。4.4.2权限管理员作为各单位信息系统申请的唯一发起人。 4.4.3权限管理员协助单位人事向公司人事部提交本单位入职、调动、离职信息。 4.4.4权限管理员负责本单位员工,各信息系统账户的新增、变更、冻结以及对应系统权限的申请工作。 4.4.5权限管理员负责定期核查本单位员工,对应系统账户的权限,若有偏差及时发起变更申请流程。 4.4.6帐号使用者不得将自己权限交由它人使用,部分岗位因工作需要交由同部门使用时,必须保证其安全和保密工作。 4.5 系统操作部门: 4.5.1系统管理员负责对权限管理员提交的申请进行权限操作、审核。 4.5.2系统管理员定期在系统或SSU 上获取信息系统的账号、权限分布表,并进行检查,对发现问题和风险的帐号及时告知相关部门并发起相应流程。
信 息系统密码管 理规定 为了加强风险管理,强化保密工作,提高公司信息系统的安全性, 保障信息系统的正常运行以及业务数据安全,防止黑客攻击和用户 越权访问,防止公司重要信息的丢失、泄漏和破坏,建立科学、规 范的信息系统密码管理规范,特制定本规定。 员密码; 应用系统服务器、数据库、网络系统,自身包含有完整的多级权限 管理体系。这些系统的最高权限分配的其他权限的密码,也需遵守 本规定; 密码必须包含字母(a-z,A-Z ))数字(0-9 )、特殊字符(!@#$%八& 中 的两种; 第一条 第二条 本制度所指信息系统密码,包括以下几种类型: 1. 公司所有业务系统普通用户密码(包括 NG 即时通讯、上网行为、邮 箱、视频会议等业务登录密码) 2. 公司所有业务系统权限管理员和系统运维管理员密码(包括业务系统、 网站系统、邮箱系统、安全审计系统、备份系统、虚拟化系统、防病毒 安全系统、视频会议系统、存储系统等后台管理密码) 3. 应用服务器管理密码(包括运行业务系统服务器、网站服务器、邮件服 务器、安全审计系统服务器、备份系统服务器、虚拟化系统服务器、防 病毒安全系统服务器、存储设备等登录密码) 4.系统数据库管理员密码; 5. 其他网络应用及网络系统(路由器、交换机、上网行为、 VPN 等)管理 第三条 第四条 公司业务系统普通用户的密码设置规范要求如下: 1. 密码长度不得低于6位; 2.
3.密码必须6个月更换一次,并且新密码不得与原密码相同; 第五条对以下密码: 1. 司所有业务系统权限管理员和系统运维管理员密码; 2. 应用服务器管理密码; 3. 系统数据库管理员密码; 4. 其他网络应用及网络系统管理员密码; 其设置规范,应符合以下要求: 1.密码不得低于8位; 2.密码必须包含大小写字母、数字及特殊符号; 3.密码必须每3个月更换一次,并且新密码不得与原密码相同; 第六条信息系统密码设置规范的系统控制: 1.应用系统应控制密码的有效期,通过设置,强行要求用户定期进行密码 修改,减少密码被盗用的可能性; 2.用户密码唱的和编码规则限制。强行要求用户密码符合长度和复杂性要 求; 3.系统控制第一次登陆后必须马上更改初始密码; 4.设置用户密码输入错误次数。再密码错误输入三次后,系统锁定登录用 户。用火狐必须通知信息化部门解除锁定。 第七条公司引进、购买或者自主幵发的所有业务系统,均按照本办法第六条的要求,完善密码管理功能模块。 第八条所有业务系统各类用户可自行修改密码。密码应妥善保管,不得公幵或告知他人。如果遗忘,应及时联系信息化相关管理人员重新设 置。 第九条信息系统服务器操作系统管理员、系统数据库管理员和公司网络服务器管理员密码应由不同人员分别掌控。
密码使用管理规定 Prepared on 22 November 2020
密码管理制度 一、目的 为确保本单位网络和信息系统的安全平稳运行,保障数据信息安全,特制订此管理制度。 二、适用范围 本制度适用本单位所有工作人员。 三、管理规定 1、本单位计算机登陆帐号、密码管理工作由技术部负责。 2、本管理制度所称的帐号、密码,是指登陆各应用系统、网络设备等各类 计算机软件、硬件系统的用户名和密码。 3、所有人必须提高安全认识,帐号和密码由用户自行保留,不得泄漏或转 借他人使用,不得借用他人帐号;不得利用帐号、密码从事破坏计算机软件系统、硬件系统的活动。 4、各类帐号的密码设置使用如下规则: 、密码字应超过8个字符; 、密码字应由字母和数字组成,重要帐号不要使用仅由字母或者数字组成的口令字; 、避免使用姓名、生日以及其他常用的密码; 5、对网络管理员、系统管理员和系统操作员所用密码需部门负责人在场时 由系统管理员记录封存,由技术部负责保存。
6、技术部有权力检查封存密码的有效性。检查时须由部门负责人启封,并由系统管理员登陆验证。 7、密码及口令要定期更换(视网络具体情况),口令更换周期不得长于三个月,更换后系统管理员要销毁原记录,将新密码或口令记录封存。 8、如发现密码及口令有泄密现象,系统管理员要立刻报告技术部负责人,同时要保护好现场并记录,需接到上级批示后再更换密码和口令。 9、遇到安全问题时,及时汇报上级领导,采取措施及时解决。 10、任何人不得利用各种网络设备或软件技术从事用户帐户及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。 11、网络管理员、系统管理员、操作员调离岗位后一小时内由部门负责人监督检查更换新的密码; 12、侦听、盗用行为一经查实,将提请给予行政处分;行为恶劣、影响面大、造成重大损失的,依法交由公安部门处理。
XXXX公司 账号密码及权限管理制度 1总则 1.1 目的 为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。 1.2 范围 所有使用本公司网络信息系统的人员。 1.3 职责 公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。 1.4 术语和定义 内部网络:是指在本公司内部所有客户端等组成的局域网。包括但不限于OA 系统以及数据库系统等。 2控制内容 1.1 用户注册 ?新用户必须加入域,否则不允许入网。 ?域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名 原则为职工工号。
?一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对 其操作行为负责。 ?用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有 账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规 避风险。 ?系统管理员应定期检查并取消多余的用户账号。 1.2 权限管理 ?行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申 请是否与信息安全策略相违背。 ?特权用户必须按授权程序通过系统等部门主管批准,才可给予相应的权 限。 ?系统管理员应保留所有特权用户的授权程序与记录。 ?权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户 的单独监控。 ?只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。 ?系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授 予权限。 ?对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待 者申请为其办理授审批程序。 1.3 密码的选择 密码的选择应参考以下规则:
航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;应急用户的管理;用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作,并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。
第六条 用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一: 1、因工作需要新增或修改用户ID; 2、用户ID持有人改变; 3、用户ID封存、冻结、解冻; 4、单位或部门合并、分离、撤消; 5、岗位重新设置; 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 2.1适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、 应用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 2.2发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 3.1 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份 识别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 4.1总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 4.2总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
4.3总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 4.4负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 5.1帐户、密码的管理: 5.1.1 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 5.1.2 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 5.1.3 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 5.2账户、密码的使用及维护: 5.2.1 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 5.2.2 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
用户账号管理制度 为充分保护用户的个人隐私、保障用户账号,特制订用户账号管理制度。 1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相应规章制度。 2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。 3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存在本网站中的非公开内容,但下列情况除外: ①违反相关法律法规或本网站服务协议规定; ②按照主管部门的要求,有必要向相关法律部门提供备案的内容; ③因维护社会个体和公众的权利、财产或人身安全的需要; ④被侵害的第三人提出合法的权利主张; ⑤为维护用户及社会公共利益、本网站的合法权益的需要; ⑥事先获得用户的明确授权或其它符合需要公开的相关要求。 4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密
码,严格保密,严禁向他人泄露。
5、每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标,也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,有义务立即通告本网站。 6、如用户不慎泄露登陆账号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。 严格执行本规章制度,并形成规范化管理,并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络信息安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。 (注:文档可能无法思考全面,请浏览后下载,供参考。可复制、编制,期待 你的好评与关注)
应用系统的角色、权限分配管理制度 第一条、用户权限管理 一、用户类型 1.系统管理员: 为应用系统建立账号及分配权限的用户 2.高级用户: 具有对应用系统内的数据进行查询和修改的用户 3.普通用户: 只对系统内数据有查询功能的用户 二、用户建立 1.建立的原则 (1)不同类型用户的建立应遵循满足其工作需要的原则,而用户的权限分配则应以保障数据直报的高效、准确、安全为原则。 (2)用户的权限分配应尽量使用系统提供的角色划分。如需特殊的操作权限,应在准确理解其各项操作内容的基础上,尽量避免和减少权限相互抵触、交叉及嵌套情况的发生,经调试成功后,再创建相应的角色赋予本级用户或直报用户。 (3)通过对用户进行角色划分,分配报告用户权限,合理限制对个案数据的修改权限,将数据报告与数据利用剥离,即原始数据报告与统计加工后信息利用分开。 (4)系统内所有涉及报告数据的帐户信息均必须采用真实信息,即
实名制登记。 2.建立的程序 (1)用户申请 可由使用部门使用人填写应用系统用户申请表,经单位领导签字批准后,向本单位负责应用的相关部门提出申请。 (2)用户创建 负责应用系统的相关部门在收到用户申请表后,系统管理员根据用户申请的内容和实际的工作范围,为其建立用户帐号并授予相应的角色,再填写用户申请回执表,经部门主管领导签字批准后,反馈给申请单位。 创建用户的步骤:①建立用户帐号;②创建角色;③为角色配置权限; ④将角色授予用户。 第二条、用户安全 一、系统安全 1.用户必须遵守国家法律、单位规章制度,不得参加任何非法组织和发布任何反动言论;严守单位机密,不得对外散布、传播本系统内部信息;不得有诋毁、诽谤、破坏本系统声誉的行为。 2.用户必须按“传染病监测信息应用工作与技术指南”对系统进行操作,尽量做到专人、专机运行使用本系统,并避免使用公共场所(如网吧)的计算机使用应用系统。 3.用户应在运行本系统的计算机上安装杀毒软件、防火墙,定期杀毒;禁止在运行本系统的计算机上安装、运行含有病毒、恶意代码、木马
1.0目的 为了确保网络安全运行,阻止黑客攻击或非法用户越权防问,防止敏感信息的丢失、泄漏或破坏,保证公司的利益。 2.0适用范围 本规范适用于公司所有应系统、网络设计以及网络终端的密码管理。 3.0定义 4.0职责 4.1 IT部:IT部负责本规范的制定和维护;IT负责本规范的执行与监督。 5.0规范内容 5.1每个系统管理员、维护人员或用户的帐号和密码必须是一一对应的。 5.2 密码最长期限:密码的有效期限根据系统特点在系统内设置,当密码的使用时间达到 或超过此期限时,系统会自动要求用户更改密码。用户应及时按提示更改密码,否则 系统会将用户账号锁定。 5.3强制密码历史:密码不应与原有密码相同,否则就失去了密码期限限制的作用。域用 户只有在更改过3次密码后,才能再次使用以前的密码,但不可使用IT部门交付的初 始密码 5.4 密码最小长度:密码最小长度为6位字符,系统管理员和系统维护人员的密码长度至少 为8位字符。 5.5密码复杂性要求密码至少应包括以下四种字符中的3种:
5.5.1大写英文字符 5.5.2小写英文字符 5.5.3阿拉伯数字 5.5.4特殊符号(如!/$/#/%等) 5.6用户密码不能包含用户名称中的3个或3个以上字符。 5.7以下情况发生后,帐号将被锁定: 5.7.1连续五次输入错误的密码后; 5.7.2超过密码最长期限仍未更改密码; 5.7.3计算机黑客攻击。 当出现用户账号被锁定的提示时,用户应联系IT部处理。 5.8 每个密码所有者都应该确保密码不被他人所知,一旦密码被他人获得,应及时更改密 码或者通知IT部处理。 5.9Active Directory的Administrator用户必须在改名后,由风控组系统管理员保管, 各系统管理员在日常工作使用各自的授权用户名。 6.0 相关表单 7.0附则 本办法由IT部拟定并负责解释,经EMT审批后下发实行。 8.0附件 无
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 信息系统权限管理制度(2020 年) Safety management is an important part of production management. Safety and production are in the implementation process
信息系统权限管理制度(2020年) 为了医院信息管理系统数据的安全管理,避免操作权限失控,并防止一些用户利用取得的权限进行不正确的操作,特制定医院信息管理系统权限管理制度,对各科室工作人员操作医院信息管理系统进行严格的管理,并按照各用户的身份对用户的访问权限进行严格的控制,保证我院信息管理系统的正常运转,特制定本管理制度。 一、总则 1.1用户帐号: 登录信息系统需要有用户帐号,相当于身份标识,用户帐号采用人员工号的编排,规则如下: (1)采用员工工号编排。 工号以人事部按顺序规定往后编排提供信息科。 1.2密码: 为保护信息安全而对用户帐号进行验证的唯一口令。
1.3权限: 指在信息系统中某一用户的访问级别和权利,包括所能够执行的操作及所能访问的数据。 二、职责与分工 2.1职能部门: (1)权限所有部门:负责某一个模块的权限管理和该模块的数据安全; a.财务处负责财务收费系统和部分资产系统权限; b.护理部负责病区护士管理系统权限; c.医务部负责医生工作站管理系统的权限; (2)负责指定一个部门权限负责人(建议为科室负责人),对涉及本部门负责权限的新增,变更,注销进行签字审批; (3)本部门人员申请本部门负责权限,需要部门权限负责人签批,签批后由系统管理员设置; 2.2单位权限负责人 (1)负责签批部门间的权限的授予;
公司计算机系统用户口令(密码)安全管理规定第一章总则第一条为加强公司计算机系统用户口令(密码)的安全管理,提高计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,特制定本规定。 第二条公司、各下属子公司的计算机系统用户口令(密码)的安全管理适用本规定。 本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。 第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。 计算机系统用户口令主要为静态口令、动态口令等。 静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。 动态口令一般是指根据动态机制生成的、一次有效的口令。 计算机系统用户口令主要包括: 主机系统(数据库系统)、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。 第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。 第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。 第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。 第七条计算机系统用户口令持有人应保证口令具有较高安全性。