用户帐户及口令管理办法
信息系统用户及口令管理办法
第一章总则
第一条目的:为规避风险,杜绝安全隐患,进一步规范XX银行(以下简称“我行”)生产系统、测试环境和开发环境的用户及口令管理,特订定本办法。
第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。
第三条范围:本管理办法适用于我行及所辖分、支行。
第四条定义
(一)生产业务系统:指我行从事金融服务的应用网络系统,包括综合业务、外币业务、大小额支付、交换中心、银联前置等银行对外营业的各种核心业务系统。
(二)管理信息系统:指我行从事日常办公及信息管理的计算机网络系统,具体包括办公自动化系统、信贷管理、人力资源管理、风险管理平台等用来进行内部管理的应用软件系统。
(三)生产系统:包括生产业务系统和管理信息系统。
(四)开发环境:指我行所有进行开发的系统环境。
(五)测试环境:指我行所有进行测试的系统环境。
(六)系统管理员:我行科技信息部各系统硬件及软件的系统管理人员。
(七)数据库管理员:我行科技信息部各系统的数据库管理人员。
(八)应用系统管理员:我行科技信息部各系统的应用维护人员。
(九)测试人员:我行各测试系统的测试人员。
(十)开发人员:我行各应用系统的开发人员。
第五条遵循原则
(一)预防性原则:遵循以预防为主、防患于未然的原则,预防案件、事故的发生。
(二)可审计性原则:口令的过程必须保留痕迹,可被审计或追溯。
(三)有限授权原则:对任何人都不能授予过度的、不受监督和制约的权限。
(四)分离制约原则:每一次使用生产系统口令,都必须有两人同时参与,由双人分段管理口令。
(五)职责不相容原则:对不相容职责进行岗位分离。
(六)监督制约原则:针对口令的使用及记录,建立相应的监督检查机制。
第二章用户管理要求
第六条对于每个系统,应根据职责不相容原则,建立权责分离的业务矩阵表,定义系统不同用户组及其访问权限,包括终端用户、系统开发人员、系统管理员、应用系统管理员等用户组。生产系统用户按照“知所必需”的存取控制原则,填写《用户权限申请表》,相关部门负责人审批通过后由系统管理人员操作。
第七条用户账号必须由运行维护中心负责人和系统管理员进行检查,确保用户不会被赋予互相冲突的权限。以下职责互相不相容,且应由不同人员担任:
(一)系统开发
(二)测试
(三)系统运行维护管理
(四)系统安全检查
第八条对于每个生产系统,系统管理员、数据库管理员及应用系统管理员的授权必须由IT管理层审批,活动日志必须由信息定期审阅。应用系统管理员根据业务部门要求,维护用户权限并定期生成系统用户权限清单,交相应业务部门负责人审批确认,对于发现的不恰当权限及时修正。系统管理员维护操作系统的用户权限并定期生成用户权限清单,交部门负责人审批确定,对于发现的不恰当权限及时修正。
第九条禁止开发人员在正常情况下进入生产系统。只有在得到管理层批准执行紧急修复任务时,开发人员才能在运行维护中心的监控下临时进入生产系统,所有的紧急修复活动都应立即进行记录和审核。
第三章口令管理要求
第十条按照信息系统对我行业务的敏感程度、重要程度,以及系统的授权访问用户的范围建议对信息系统进行分级归类,不同级别采取不同的账号、口令管理方式。
第十一条建议将我行信息系统在口令管理方式上分为三个级别:(一)A级系统,包括核心业务区域、前置区的主机系统。口令管理方式建议采用口令信封双人分段或单人控制的方式。
(二)B级系统,包括各种外围业务系统(如网上银行、电话银行、外网网站、OA系统等),口令管理方式建议采用集中账号口令管理方式,并且采用双因素身份认证方式。
(三)C级系统,包括各部门内部使用的应用系统、开发系统或测试系统,口令管理方式建议各部门内各系统管理员通过系统内置的账号、口令管理机制进行管理。
第十二条生产系统口令分为超级用户口令、数据库用户口令、中间件用户口令、应用用户口令、查询用户口令。除查询用户口令外,其他口令的口令长度至少为8个不含空格的字符,口令通常应由不代表任何含义的字母、数字和字符混合组成,口令不能和用户的姓名、生日、电话号码、车牌照、公司名称、日期、用户账号等信息相关联。生产系统超级用户口令、数据库用户口令、中间件用户口令必须定期每90天强制性更改一次,应用用户口令每个月更改一次,若口令逾期而未更改,则该用户将被锁定,口令不能和前6次的口令相同,口令错误输入的次数应不得超过3次,否则用户账号将被锁定。
第十三条生产系统超级用户口令原则上由系统管理员使用和管理;数据库用户口令由数据库管理员使用和管理;中间件用户口令、应用用户口令及查询用户口令由应用系统管理员使用和管理。
第十四条每个生产系统建立两个同权限的超级用户,一个超级用户作为备份,特殊情况下使用,另一个作为日常维护使用。备用超级用户的口令信封由总部科技信息部综合科保管。
第十五条生产系统口令(查询用户口令除外)进行分段双人管理,由使用管理人员及中心机房值班人员共同管理,进行密封,登记造册,列为机密。口令信封由中心机房值班人员管理,值班人员对口令信封的安全负责。
第十六条业务人员不得向他人泄露自己的计算机口令或使用他人口令进入计算机系统。在进行业务操作和查询时,对所获得的客户和公司资料承担保密责任。
第四章流程控制要求
第十七条使用生产系统口令必须填写《生产系统口令使用申请表》,登记内容包括口令使用种类、起止时间、使用原因、口令使用人签名等,经所属科室负责人、部门负责人签字同意后,方可使用生产系统口令。
第十八条口令信封开启时,使用人员和中心机房值班人员必须双人在场,同时对口令信封封口处的签字进行检查。
第十九条每次生产系统口令使用完毕后,使用人员和中心机房值班人员必须立即对口令进行更改;更改后,使用人员将口令进行密封并在封口处签字,交中心机房值班人员管理,同时办理变更登记手续,以备急需。若不按规定办理,视为该口令仍在使用过程中,出现任何责任事故,由口令使用人负责。
第二十条在非上班时间或上班时间签字人员不齐(出差)的情况下,若需紧急使用口令,由口令使用人向部门负责人汇报,进行口头确认,经批示同意后,可使用口令,手续后补。
第二十一条口令信封保管人员调离工作岗位时,必须对生产系统口令进行及时更换。
第二十二条当发生人员岗位变动或离职,IT部门根据相关部门书面通知进行相应的系统权限及口令调整或回收。
第五章检查监督
第二十三条总部科技信息部安全管理员负责检查监督生产系统的口令管理,每月进行1次检查。
第六章附则
第二十四条本管理办法由科技信息部负责解释和修订。
第二十五条本管理办法自发布之日起施行。
用户帐户及口令管理办法
信息系统用户及口令管理办法 第一章总则 第一条目的:为规避风险,杜绝安全隐患,进一步规范XX银行(以下简称“我行”)生产系统、测试环境和开发环境的用户及口令管理,特订定本办法。 第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。 第三条范围:本管理办法适用于我行及所辖分、支行。 第四条定义 (一)生产业务系统:指我行从事金融服务的应用网络系统,包括综合业务、外币业务、大小额支付、交换中心、银联前置等银行对外营业的各种核心业务系统。 (二)管理信息系统:指我行从事日常办公及信息管理的计算机网络系统,具体包括办公自动化系统、信贷管理、人力资源管理、风险管理平台等用来进行内部管理的应用软件系统。 (三)生产系统:包括生产业务系统和管理信息系统。 (四)开发环境:指我行所有进行开发的系统环境。 (五)测试环境:指我行所有进行测试的系统环境。 (六)系统管理员:我行科技信息部各系统硬件及软件的系统管理人员。 (七)数据库管理员:我行科技信息部各系统的数据库管理人员。 (八)应用系统管理员:我行科技信息部各系统的应用维护人员。 (九)测试人员:我行各测试系统的测试人员。 (十)开发人员:我行各应用系统的开发人员。 第五条遵循原则 (一)预防性原则:遵循以预防为主、防患于未然的原则,预防案件、事故的发生。 (二)可审计性原则:口令的过程必须保留痕迹,可被审计或追溯。
(三)有限授权原则:对任何人都不能授予过度的、不受监督和制约的权限。 (四)分离制约原则:每一次使用生产系统口令,都必须有两人同时参与,由双人分段管理口令。 (五)职责不相容原则:对不相容职责进行岗位分离。 (六)监督制约原则:针对口令的使用及记录,建立相应的监督检查机制。 第二章用户管理要求 第六条对于每个系统,应根据职责不相容原则,建立权责分离的业务矩阵表,定义系统不同用户组及其访问权限,包括终端用户、系统开发人员、系统管理员、应用系统管理员等用户组。生产系统用户按照“知所必需”的存取控制原则,填写《用户权限申请表》,相关部门负责人审批通过后由系统管理人员操作。 第七条用户账号必须由运行维护中心负责人和系统管理员进行检查,确保用户不会被赋予互相冲突的权限。以下职责互相不相容,且应由不同人员担任: (一)系统开发 (二)测试 (三)系统运行维护管理 (四)系统安全检查 第八条对于每个生产系统,系统管理员、数据库管理员及应用系统管理员的授权必须由IT管理层审批,活动日志必须由信息定期审阅。应用系统管理员根据业务部门要求,维护用户权限并定期生成系统用户权限清单,交相应业务部门负责人审批确认,对于发现的不恰当权限及时修正。系统管理员维护操作系统的用户权限并定期生成用户权限清单,交部门负责人审批确定,对于发现的不恰当权限及时修正。 第九条禁止开发人员在正常情况下进入生产系统。只有在得到管理层批准执行紧急修复任务时,开发人员才能在运行维护中心的监控下临时进入生产系统,所有的紧急修复活动都应立即进行记录和审核。
(完整版)人民币银行结算账户管理办法实施细则(银发[2005]16号)
人民币银行结算账户管理办法实施细则 第一章总则 第一条为加强人民币银行结算账户(以下简称银行结算账户)管理,维护经济金融秩序稳定,根据《人民币银行结算账户管理办法》(以下简称《办法》),制订本实施细则。 第二条《办法》和本实施细则所称银行,是指在中华人民共和国境内依法经批准设立的,可以经营支付结算业务的银行业金融机构。 第三条中国人民银行是银行结算账户的监督管理部门,可以对银行结算账户的开立和使用进行检查监督。 第四条中国人民银行通过全国人民币银行结算账户管理系统(以下简称银行账户管理系统),对银行结算账户的开立和使用实施监控和管理。 第五条中国人民银行对下列单位银行结算账户实行核准
制度,经中国人民银行核准后颁发开户许可证: (一)基本存款账户; (二)临时存款账户(因注册验资开立的除外); (三)预算单位开立的专用存款账户; (四)合格境外机构投资者在境内从事证券投资开立的人民币特殊账户和人民币结算资金账户(以下简称QFII专用存款账户)。 上述银行结算账户统称核准类银行结算账户。 第六条开户许可证是中国人民银行依法做出准予申请人在银行开立核准类银行结算账户的决定后,颁发的行政许可证件,是核准类银行结算账户合法性的唯一有效证明。 第二章银行结算账户的开立 第七条存款人应当以实名开立银行结算账户,并对其开户申请材料实质内容的真实性负责。银行负责对存款人开户申请资料的真实性、完整和合规性进行审查。
第八条人民银行在颁发开户许可证时,应当在开户许可证中载明下列事项: (一)开户许可证的名称; (二)开户许可证编号; (三)开户核准号; (四)中国人民银行当地分支行账户管理专用章; (五)核准日期; (六)存款人名称; (七)存款人的法定代表人或单位负责人姓名; (八)开户银行名称; (九)开户银行机构代码; (十)账户性质; (十一)账号; (十二)开户日期。 临时存款账户开户许可证除记载上述事项外,还应当记载临时存款账户的有效期限。
中国人民银行信息安全管理规定
中国人民银行信息安全管理规定 第一章总则 第一条为强化人民银行信息安全管理,防范计算机信息技术风 险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华 人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系 统安全保护工作暂行规定》等规定,特制定本规定。 第二条本规定所称信息安全管理,是指在人民银行信息化项目立 项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、 环境、网络和操作安全的一系列管理活动。 第三条人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关 的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。 第四条人民银行信息安全管理实行分管领导负责制,按照“谁主 管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个 人信息安全责任制。 第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用人民银行网络或信息资源的其 他外部机构和个人均应遵守本规定。 第二章组织保障
第六条各单位应设立由本单位领导和相关部门主要负责人组成 的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。 第七条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心 支行科技部门配备专职信息安全管理人员,实行 A、B 岗制度;地(市) 中心支行和县(市)支行设立信息安全管理岗位。 第八条除科技部门外,各单位其他部门均应指定至少一名部门计 算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息 安全管理工作。 第三章人员管理 第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条各单位应选派政治思想过硬、具有较高计算机水平的人员 从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定 受到过处罚或处分的人员,不得从事此项工作。 第十一条各单位信息安全管理人员应经过总行或分行、营业管 理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核 合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。
办公密码管理制度.doc
办公密码管理制度1 办公密码管理制度 一、总则 1.目的 为规范本公司办公密码的使用并确保其安全,特制定本制度。2.适用范围 适用于全体员工。 本公司办公密码包括以下五种类型: 1)办公系统管理密码 如:社保系统管理密码、BASSMAIL系统管理密码、财务系统管理密码等电脑开机密码—— 2)财务相关密码 如:保险箱密码、存折密码、U盾密码等 3)其他密码 如:招聘网站密码 二、办公密码管理细则 1.办公密码保管/借用 1)办公密码涉及公司机密文件及资料,各部门办公密码使用人妥善
管理自己使用的办公设备/系统密码,保管人员直接上级/部门负责人必须随时了解所管辖员工保管密码的更新情况。 2)若其他人员因工作需要使用到自己保管的密码,须经部门负责人 同意后才可将密码提供他人使用。在相关人员使用密码后的一个工作日内,须及时对密码进行修改,并及时填写《办公密码变更 登记表》申报更改。 2.电脑开机密码设置 除以下可设置开机密码的岗位以及总经理特批的情况以外,其他人员不得随意设置电脑开机密码。 注:*表示必须设置开机密码。 3.办公密码变更申报 1)需使用《办公密码变更登记表》申报变更的情况包括以下七种: ①更改密码、②更改使用人、③更换密码并更改使用人、④增加 备案人、⑤增加使用人、⑥新增密码、⑦其他。 2)申报负责人:一般情况下,办公密码变更申报由密码保管人(即 使用人)负责。如因人员离职/调动/休长假需变更密码,由员工直接上级进行申报。 3)申报时间:密码产生变更后一个工作日内。 4.办公密码登记备案
1)密码备案人(一般为部门经理、总监)负责备案管辖员工办公密 码,及时更新《办公密码设置登记表》。公司总经理备案公司所有人员的密码,各(项目部)部门负责人需备案管辖区域/部门所有人员的密码; 2)公司各员工如因工作需要需备案其他部门密码,应提前向相关部 门负责人申请,经过批准后才可进行密码的备案。 3)密码备案人接收密码保管人因密码变更而进行的《办公密码变更 登记表》申报时,须及时向相关人员核实确定密码变更情况,并 更新登记《办公密码设置登记表》。 4)综合管理中心负责存档备案公司部门《办公密码设置登记表》。 三、办公密码季度检查规定 1.本公司例行办公密码检查时间为每季度最后一月的28日-30日, 并根据总经理要求随时进行抽查。 2.办公密码检查工作由总经理指定人员进行。 3.办公密码检查工作关系到公司各类文件、资料的安全保密,检查 人需严肃认真对待,发现差异须如实记录并及时向相关部门汇报,不得推脱隐瞒或知情不报。检查人不得利用职务之便询问/打探办公密码。 四、办公密码管理工作各相关部门职责 1.项目部、各部门办公密码使用人
账号权限及密码管理制度
账号权限及密码管理制度 一、账号权限管理 1.做好系统管理员、业务管理员的备案;同时做好系统用户备案管理。 2.业务管理员需定期检查相关系统的账号权限分配情况,确保落实权限最小 化原则。角色分配应与岗位需求吻合,避免功能扩大。同一账户被赋角色 不得存在功能互相矛盾、嵌套情况。严格控制隐私信息查询、浏览、导出 权限。 3.限制超级账号的使用,并做好相应的使用审计工作。 4.业务管理员应及时解除无用账号相应权限,系统管理员应定期检查并禁用 或注销无用账号。 二、密码产品 1.使用符合国家密码管理规定的密码技术和产品。 2.密码算法和密钥的使用符合国家密码管理规定。 三、密码的设置 1.服务器的密码,由安全管理员和系统管理员商议确定,必须两人同时在场 设定。 2.服务器的密码须安全管理员在场时要由系统管理员记录封存。 3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少 于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密 码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。 4.密码要定期更换:一般重要设备密码更换周期不得多于180天; 四、密码和口令的保存 1.服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人; 若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成 工作后,系统管理员应该及时更改密码,保证密码安全。 2.服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备 案记录交于网络管理中心负责人封存。 3.密码更换后系统管理员需将新密码或口令记录登记封存。 4.如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心 负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查
银行账户管理制度(模板)
银行账户管理办法 第一节总则 第一条为了进一步加强XX公司(以下简称“公司”)银行账户日常管理与监督,保障各公司资金安全,特制定本管理办法。 第二条本办法所指银行帐户包含但不限于:基本账户、一般账户、专项账户、监管账户、保证金账户以及其他以公司名称开立的、所有权属于本公司的银行账户。 第三条本办法适用于公司本部、分(子)公司(包含分公司及所属全资、控股子公司)。 第二节银行账户的开立 第四条公司总部开立新的银行账户须由财务经理、财务总监审批同意后方可办理开户手续。 第五条下属分(子)公司新开立账户前需向公司总部财务部提交正式书面申请,经分(子)公司分管财务的公司总经理(副总经理)、公司总部财务经理、公司总部财务总监审批同意后方可办理开户手续。 第六条由于公司总部基于协调银行业务的角度要求各分(子)公司开立银行账户的,由公司总部财务部发出由财务经理、财务总监签署意见的“开户通知书”、经分(子)公司分管财务的公司总经理(副总经理)批准后方可办理开户手续。 第三节银行账户的日常管理 第七条各分(子)公司财务部必须建立严格的银行印鉴管理规定,各公司的银行印鉴必须分开管理,出纳人员不得兼管财务印章。财务印章原则上由各公司财务经理指定专人掌管。 第八条银行印鉴的借出必须有严格的审批程序和台帐登记管理。台帐登记管理内容应包括借出事由、审批程序、借出和归还等内容。 第九条银行预留印鉴名章更换需提交公司总经理或分(子)公司总经理批准后执行。
第十条财务部门应将银行账户资金流动情况及时入帐,尽可能减少银行日记账余额与银行账户余额的差异。银行收支原始凭单丢失需要申请银行补办的,补办申请需经过分(子)公司财务经理、分管财务的公司总经理(副总经理)签字后方可办理。 第十一条及时向银行索要对账单,各账户每月至少1次。要求每月10日之前必须由会计人员编制完成上月银行余额调节表,月末结账前必须根据银行余额调节表调整未达账项。严禁在公司账面出现超过1个月以上的跨期未调整收支事项。 第十二条各公司财务部门应对不经常发生业务的银行账户加强监管,防止因疏于管理造成公司资金损失。 第十三条各公司资金和银行账户必须全部纳入公司账内管理,严禁因任何原因设立任何形式的“小金库”和账外银行账户。 第十四条各公司开立银行账户用于公司经营业务所需的资金收付,严禁任何出借银行账户的行为。 第四节日常各公司间账户资金调动管理 第十五条公司各分(子)公司之间除正常贸易往来支付款项外,不允许有资金借调业务发生,各公司间的借调资金往来统一由公司总部财务部调度。 第十六条各分(子)公司由于经营周转和还贷周转需要向公司总部借支资金时,需要向公司总部提交“借款申请”,“借款申请”中需写明借款资金用途、借款到账时间、汇入行名称、还款资金来源和还款时间等要素。经公司总经理签字后提交公司总部财务部履行公司总部资金调度审批程序。 第十七条除分(子)公司归还向公司总部借款的情况外,公司总部调度各下属公司的资金时,需向各分(子)公司提交“借款通知书”。通知书中需写明借款到账时间、汇入行名称、还款时间等要素。借款通知的审批权限按照公司总部相关规定执行:1000万元(含)以内的公司内部资金调度由常务副总签字。超过1000万元以上的加上财务总监签字。 二零一四年【】月【】日 2/2
密码使用管理规定
密码使用管理规定 Prepared on 22 November 2020
密码管理制度 一、目的 为确保本单位网络和信息系统的安全平稳运行,保障数据信息安全,特制订此管理制度。 二、适用范围 本制度适用本单位所有工作人员。 三、管理规定 1、本单位计算机登陆帐号、密码管理工作由技术部负责。 2、本管理制度所称的帐号、密码,是指登陆各应用系统、网络设备等各类 计算机软件、硬件系统的用户名和密码。 3、所有人必须提高安全认识,帐号和密码由用户自行保留,不得泄漏或转 借他人使用,不得借用他人帐号;不得利用帐号、密码从事破坏计算机软件系统、硬件系统的活动。 4、各类帐号的密码设置使用如下规则: 、密码字应超过8个字符; 、密码字应由字母和数字组成,重要帐号不要使用仅由字母或者数字组成的口令字; 、避免使用姓名、生日以及其他常用的密码; 5、对网络管理员、系统管理员和系统操作员所用密码需部门负责人在场时 由系统管理员记录封存,由技术部负责保存。
6、技术部有权力检查封存密码的有效性。检查时须由部门负责人启封,并由系统管理员登陆验证。 7、密码及口令要定期更换(视网络具体情况),口令更换周期不得长于三个月,更换后系统管理员要销毁原记录,将新密码或口令记录封存。 8、如发现密码及口令有泄密现象,系统管理员要立刻报告技术部负责人,同时要保护好现场并记录,需接到上级批示后再更换密码和口令。 9、遇到安全问题时,及时汇报上级领导,采取措施及时解决。 10、任何人不得利用各种网络设备或软件技术从事用户帐户及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。 11、网络管理员、系统管理员、操作员调离岗位后一小时内由部门负责人监督检查更换新的密码; 12、侦听、盗用行为一经查实,将提请给予行政处分;行为恶劣、影响面大、造成重大损失的,依法交由公安部门处理。
银行账户管理办法
银行账户管理办法 一、为了加强公司财务管理,规范银行结算业务,根据公司的财务管理制度和实际情况特制定本办法。 二、银行账户的管理负责人为财务部经理,财务部经理对银行账户的启用、日常使用、注销负责管理。 三、公司启用新银行账户或注销原银行账户必须履行审批手续,银行账户启用与注销审批表附后(见附表三、四)。 四、银行账户的关键职能需要加强内控牵制,原则上需要二人以上共同管理。如账户启用、支付结算、密码保护、U盾保管、印鉴保管,票据的使用、账户注销等。上述各岗位因公司紧急需要必须及时办理业务的,可以委托固定人员临时办理业务,但必须经财务经理和总经理同意,办理的委托事务需要办理登记手续(见附表二)。被委托人必须固定,不能违反公司内部牵制的交叉职能。 五、银行账户的启用与注销,由银行出纳负责申请,负责收集启用或注销账户银行所需要的资料,履行审批程序。 六、财务部经理对账户启用后的岗位分设负责,具体落实印鉴保管人、U盾保管人、密码保管人等。(具体岗位分工见附表一) 七、印鉴保管人按照公司印鉴使用管理办法使用和保管印鉴。 八、U盾保管人需要对U盾的安全使用负责,杜绝除自己和固定委托人外的第三人接触自己保管的U盾,U盾丢失要在发现后第一时间汇报财务经理和总经理,并做好保护账户资金安全。 九、密码保护负责人要防止密码外泄,杜绝除自己和固定委托人外的第三人接触或获知自己保管的密码,并需要不定期修改密码,修改密码前和密码修改成功后需要向财务经理汇报,并安全保管新密码。被委托人更换的必须修改密码,其它密码保管人不能成为固定委托人。 十、银行磁卡(存折)保管人、支票保管人、印鉴保管人未经财务部经理同意不能将本人保管的银行磁卡(存折)、空白支票、印鉴交与其他人。经财务部
信息系统帐户密码管理规定
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
帐号口令及权限管理组织规定
帐号口令管理制度
目录 第一章总则 (4) 1.1 概述 (4) 1.2 目标 (5) 1.3 范围 (5) 1.4 要求 (6) 第二章帐号、口令和权限管理的级别 (7) 2.1 关于级别 (7) 2.2 如何确定级别 (7) 2.3 口令、帐号和权限管理级别的定义 (8) 2.3.1 等级1 –最低保障 (8) 2.3.2 等级2-低保障级别 (9) 2.3.3 等级3 –坚固保障级别 (10) 2.3.4 等级4 –最高保障等级 (10) 第三章帐号管理 (12) 3.1 职责定义 (12) 3.2 口令应该以用户角色定义 (12) 3.2.1 系统管理员/超级用户 (12) 3.2.2 普通帐号 (13) 3.2.3 第三方用户帐号 (13) 3.2.4 安全审计员帐号 (13) 3.2.5 对于各类帐号的要求 (13)
3.3 帐号管理基本要求 (14) 3.3.1 保障等级一需要遵守的规范 (14) 3.3.2 保障等级二需要遵守的规范 (14) 3.3.3 保障等级三需要遵守的规范 (15) 3.3.4 保障等级四需要遵守的规范 (15) 3.4 帐号管理流程 (16) 3.4.1 创建用户帐号 (16) 3.4.2 变更用户 (20) 3.4.3 撤销用户 (22) 3.4.4 定期复审 (23) 第四章口令管理 (25) 4.1 通用策略 (25) 4.2 口令指南 (25) 4.2.1 口令生成指南 (26) 4.2.2 口令保护指南 (27) 第五章权限管理 (28) 5.1 概述 (28) 5.2 根据工作需要确定最小权限 (28) 5.3 建立基于角色的权限体系 (28) 5.4 审计人员权限的界定 (29) 5.5 第三方人员权限设定 (30)
集团企业银行账户管理办法
天津**集团银行账户管理办法 为进一步提高集团资金管控水平,提高资金使用效率与收益水平,规范所属企业银行账户管理,保证企业资金安全,避免多头开户,减少闲置账户,依照《企业财务通则》、《人民币银行结算账户管理办法》等法律法规与集团现行制度规定,结合集团实际情况,制定本办法。 第一章适用范围 第一条适用本办法的企业为集团所属各级控股企业,包括各级控股子企业设立的各级分子公司。 第二条本办法所指银行账户为各企业以企业法人名义在商业银行或其她非银行金融机构开立的基本存款账户、一般存款账户、临时存款账户与专用存款账户。 第二章指导原则 第三条严格控制开户数量。所属企业除基本户、住房公积金、税户等国家规定必须开立的专户与有投资、融资等企业专项用途的银行账户外,严格控制新增开户。 第四条逐步清理冗余存量银行账户。所属企业应当进一步优化合作金融机构,对已无实际合作的银行账户予以及时清理。 第五条逐步实现合作金融机构的相对集中。条件成熟的前提下,集团公司将逐步集中所属企业合作金融机构,充分利用金融机构资金管理工具,通过信息化手段实现集团资金整体在线监控运作。
第六条企业银行账户的开立、变更、使用与撤销应当符合国家法律法规规定,严禁企业开立个人账户办理公司业务。严禁企业出租与转让银行账户,或将规定用途银行账户挪作她用。 第七条企业银行账户的开立须按照集团公司规定履行审批手续。企业银行账户的增减变动情况应定期向集团公司备案。 第三章银行账户的审批备案 第八条集团公司各级控股企业开立银行账户实行审批管理。二级企业开立银行账户由集团公司审批,三级及非二级企业开立银行账户经二级主管公司审核后报集团公司审批,企业经批准后方可办理开户手续。 企业开立银行账户应完成内部审批流程,由企业主要领导审批,并填报《天津**集团企业银行账户开户审批表》,连同企业内部审批资料一并报送至上级主管公司审批。 第九条企业银行账户信息变更及账户撤销事项经由企业内部审批后即可自行办理。 第十条企业应定期上报银行账户信息变更及增减变动情况。企业应于每季度终了15日内,填报《天津**集团企业银行账户备案表》,上报至集团公司备案,二级主管公司负责本企业所属企业汇总上报备案。 第四章银行账户的管理 第十一条集团公司财务部负责所属企业银行账户开立、变更、销户的审批与备案工作,并对各企业银行账户管理情况
办公密码管理制度
第一章总则 第一条目的 为规范本公司办公密码的使用并确保其安全,特制定本制度。 第二条适用范围 适用于全体员工。 第三条办公密码的分类 本公司办公密码包括以下五种类型: 第二章办公密码管理细则 第四条办公密码保管/借用 1、办公密码涉及公司机密文件及资料,各部门办公密码使用人妥善管理自己使用的办公设备/系统密码,保管人员直接上级主管/经理必须随时了解所管辖员工保管密码的更新情况。 2、若其他人员因工作需要使用到自己保管的密码,须经部门主管同意后才可将密码提供他人使用。在相关人员使用密码后的一个工作日内,须及时对密码进行修改,并及时填写OA流《办公密码变更登记表》申报更改。 第五条电脑开机密码设置 除以下可设置开机密码的岗位外以及行政部经理特批的情况以外,其他人员不得随意设置电脑开机密码。 第六条办公密码变更申报 1、需使用OA流《办公密码变更登记表》申报变更的情况包括以下七种:①更改密码、②更改使用人、③更
换密码并更改使用人、④增加备案人、⑤增加使用人、⑥新增密码、⑦其他。 2、申报负责人:一般情况下,办公密码变更OA申报由密码保管人(即使用人)负责。如因人员离职/调动/休长假需变更密码,由员工直接上级进行OA申报。办公室主任负责进行店面办公密码变更OA申报。 3、申报时间:密码产生变更后一个工作日内。 第七条办公密码登记备案 1、密码备案人(一般为部门主管、经理)根据《各岗位人员密码设置对照表》(附件四)的要求,负责备案管辖员工办公密码,及时更新《办公密码设置登记表》。一般情况下,行政经理/部门经理需备案管辖区域/部门所有人员的密码;部门主管只备案本科室各人员的密码。 2、公司各员工如因工作需要需备案其他部门密码,应提前通过公Q向相关部门经理申请,经过批准后才可进行密码的备案。 3、密码备案人接收密码保管人因密码变更而进行的OA流《办公密码变更登记表》申报时,须及时向相关人员核实确定密码变更情况,并更新登记《办公密码设置登记表》。 4、行政管理科负责存档备案各区域/部门《办公密码设置登记表》。 第三章办公密码季度检查规定 第八条本公司例行办公密码检查时间为每年3、6、9、12月28日-30日。 第九条行政文秘/行政会计负责季度办公密码检查工作,如因文秘需看管前台,店面办公密码季度检查工作可由办公室主任开展。 第十条检查出纳所保管的存折密码可由办公室主任/行政助理不定期进行,一般在出纳需到银行取款时随同前往,只需检查出纳是否记得该存折密码,不需了解密码的具体内容。 第十一条办公密码检查工作关系到公司各类文件、资料的安全保密,检查人需严肃认真对待,发现差异须如实记录并及时向相关部门汇报,不得推脱隐瞒或知情不报。检查人不得利用职务之便询问/打探办公密码。 第四章办公密码管理工作各相关部门职责 第十二条店面、办公密码使用人 1.持有办公密码的人员须对密码安全保密负责,不得向他人泄露密码。如发生密码丢失/被盗/转借他人使用等情况,一个工作日内更改密码并填写OA变更申报。遇无法处理的情况立即向上级部门汇报。 2.店面办公密码如有变更,统一告知办公室主任,由办公室主任填写OA变更申报。 第十三条办公密码备案人 1.备案人负责管辖员工办公密码的登记备案,收到密码变更信息须及时更新《办公密码设置登记表》。 2.每月第五个工作日。总部各部门经理、分区行政经理需将有变更的《办公密码设置登记表》通过邮件形式
银行用户口令管理规定
新民市农村信用社计算机系统用户口令(密码)安全管理规定 第一章总则 第一条为加强我县计算机系统用户口令(密码)的安全管理,提高我县计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,结合我县计算机系统用户口令(密码)安全管理的实际情况,特制定本规定。 第二条新民联社及其所属各级营业网点的计算机系统用户口令(密码)的安全管理适用本规定。本规定不包括我县应用系统中客户口令的安全管理,对于客户口令的安全管理应遵照执行相关规定。 第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。计算机系统用户口令主要为静态口令。静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。计算机系统用户口令主要包括:主机系统(此项口令管理仅指联社办公网络的主机系统)、网络设备、综合业务系统、安全设备、办公计算机系统用户口令等系统用户口令; 第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。 1 第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸介质中(密码信封除外),严禁将口令放臵在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。 第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。
财政部 监察部 中国人民银行关于印发《银行账户管理办法》
财政部监察部中国人民银行关于印发《行政事业单位预算外资金银行账户管理的规定》的通知 各省、自治区、直辖市人民政府,国务院各部委、各直属机构:根据中央纪律检查委员会第三次全会和国务院廉政工作会议精神,结合《国务院关于加强预算外资金管理的决定》的有关规定,为加强行政事业单位银行账户的管理,财政部、监察部、中国人民银行研究制定了《关于行政事业单位预算外资金银行账户管理的规定》,现印发给你们,请认真贯彻执行。 附件:行政事业单位预算外资金银行账户管理暂行规定 1999年6月11日 附件: 行政事业单位预算外资金银行账户管理的规定 第一条为加强预算外资金管理,规范预算外资金银行账户的开设和使用,根据有关法律、法规,制定本规定。 第二条本规定适用于有预算外资金收支活动的国家行政机关、审判机关、检察机关、事业单位、社会团体、具有行政管理职能的行业主管部门(以下称"行政事业单位")。 第三条行政事业单位收取或取得的预算外资金收入,应全部直接上缴同级财政部门设立的预算外资金财政专户。财政部门另有规定
的除外。 确有必要的,经财政部门批准,并凭人民银行颁发的《开户许可证》,行政事业单位可在银行开设一个预算外资金收入汇缴专用存款账户,用于核算本部门和单位应上缴的预算外资金收入。 预算外资金收入汇缴专用存款账户只能核算预算外资金收入上解款项,单位不得直接支用,并按规定及时足额上缴同级财政专户。 第四条行政事业单位应按照国家有关规定,经财政部门批准,并凭人民银行颁发的《开户许可证》,在银行开设一个预算外资金支出专用存款账户。 支出专用存款账户只办理和核算同级财政部门从财政专户核拨给单位使用的资金及该部分资金的支出,不得发生资金收入款项和其他业务。 第五条行政事业单位预算外资金银行账户,包括收入汇缴专用存款账户和支出专用存款账户,均应在国有或国家控股银行开设。 第六条预算外资金收入汇缴专用存款账户和支出专用存款账户。由行政事业单位财务机构统一开设和管理。 第七条行政事业单位开设、变更或撤销预算外资金有关专用存款账户,应向同级财政部门提出申请,井经财政部门审议同意后,持财政部门批准文件和人民银行颁发的《开户许可证》,到开户银行办理相关手续。 第八条行政事业单位下属单位开设、变更或撤销预算外资金有关专用存款账户应向其上级主管单位提出申请,经审核同意后,报同
金融机构信息安全管理指引
附件 省银行业金融机构信息安全管理指引(试行) 第一章总则 第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。 第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。 第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。 第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。 第五条各银行机构信息安全管理工作的主要任务是: (一)加强组织领导,健全信息安全管理体制,建立跨部门、
跨行业协调机制; (二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能; (三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设; (四)进一步加强信息安全制度和标准规体系建设; (五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设; (六)加强安全运行监控体系建设; (七)大力开展信息安全风险评估,实施等级保护; (八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制; (九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。 第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。 第二章组织机构 第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构,负责本系统(单位)信息安全管理工作,决策本系统(单位)信息安全重大事宜。
银行帐户管理办法
银行帐户管理办法 银行账户可以分为基本账户、专用账户、辅助账户三类。下文是银行帐户管理办法规定,欢迎阅读! 银行帐户管理办法 第一章总则 第一条为规范银行帐户的开立和使用,维护经济、金融秩序,适应社会主义市场经济发展的需要,制定本办法。 第二条凡在中国境内开立人民币存款帐户的机关、团体、部队、企业、事业单位、个体经济户和个人(以下简称存款人)以及银行和非银行金融机构(以下简称银行),必须遵守本办法的规定。 外汇存款帐户的开立、使用和管理,按照国家外汇管理局颁发的外汇帐户管理规定执行。 第三条存款帐户分为基本存款帐户、一般存款帐户、临时存款帐户和专用存款帐户。 第四条基本存款帐户是存款人办理日常转帐结算和现金收付的帐户。 存款人的工资、奖金等现金的支取,只能通过本帐户办理。 第五条一般存款帐户是存款人在基本存款帐户以外的银行借款转存、与基本存款帐户 的存款人不在同一地点的附属非独立核算开立的帐户。 存款人可以通过本帐户办理转帐结算和现金缴存,但不能办理现金支取。 第六条临时存款帐户是存款人因临时经营活动需要开立的帐户。
存款人可以通过本帐户办理转帐结算和根据国家现金管理的规定办理现金收付。 第七条专用存款帐户是存款人因特定用途需要开立的帐户。 第八条存款人只能在银行开立一个基本存款帐户。本办法另有规定的除外。 第九条存款人可以自主选择银行,银行也可以自愿选择存款人开立帐户。任何单位和个人不得干预存款人在银行开立或使用帐户。 第十条存款人在其帐户内应有足够资金保证支付。 第十一条银行应依法为存款人保密,维护存款人资金自主支配权,不代任何单位和个人查询、冻结、扣划存款人帐户内存款。国家法 律规定和国务院授权中国人民银行总行的监督项目除外。 第十二条存款人在银行开立基本存款帐户,实行由中国人民银行当地分支机构核发开户口许可证制度。银行对存款人开立或撤销帐户,必须向中国人民银行分支机构申报。 第二章帐户设置和开户条件 第十三条下存款人可以申请开立基本存款帐户: 一、企业法人: 二、企业法人内部单独核算的单位; 三、管理财政预算资金和预算外资金的财政部门; 四、衽财政预算管理的行政机关、事业单位; 五、县级(含)以上军队、武警单位; 六、外国驻华机构; 七、社会团体; 八、单位附设的食堂、招待所、幼儿园; 九、外地常设机构;
密码管理制度
文档 . 密码管理制度 为进一步加强密码设备的管理、及时、妥善处置突发性涉密问题,防止失、泄密事件的发生,根据《保密法》和上级行有关规定,制定本办法。 一、组织机构 成立密码设备管理委员会,负责对密码设备管理工作的领导。 二、委员会职责 1、及时召开会议学习上级有关密码设备管理工作的文件,总结研究部署密码设备管理工作。 2、定期或不定期对密码设备的使用情况、管理工作开展情况进行检查,查找隐患、堵塞漏洞、防范风险,确保密码设备的绝对安全和正常运行。 3、加强密码队伍建设,加强密码设备管理人员的政治思想教育和保密意识教育,定期地向全局干部职工进行遵纪守法和职业道德教育,努力做到不出现失、泄密事故。 三、具体要求 1、涉密部门应由专人保管密码设备,做到责任到人。 2、涉密部门应严格执行保密规定,履行密码设备使用手续,按规定权限使用设备,注意保密。 3、涉密部门应加强对密码设备、密押印文及一切有关国家机密文件、电报、函件、资料、统计数字的保密,严禁携带回家或在外出时对外泄露。 4、当密码设备发生技术故障时,设备所属部门应及时与密码设备管理委员会报告,委员会将应及时报告上级行进行设备维修或更换。 5、涉密部门发生密码设备丢失、密码设备被盗失控、密码丢失、密码被窃失控可能造成国家损失的紧急涉密事件发生时,应立即、及时将情况上报密码设备管理委员会,支行密码设备管理委员会通过检查现场、询问相关人员等方式及时查清情况,并报上级主管单位。 6、本办法所指密码设备为密押机、密押卡、带有转字密码的保险库(箱)、涉及使用密码的电子计算机设备等。 7、本办法所指涉密部门为拥有、使用密码设备的部门。
银行信息安全管理办法(试行)[2020年最新]
目录 总则 (2) 第一章组织保障 (2) 第一节信息安全管理人员 (3) 第二节网络管理员 (4) 第三节系统管理员 (4) 第四节一般计算机用户 (5) 第二章机房环境和设备资产管理 (6) 第一节机房安全管理 (6) 第二节柜面和核心业务处理环境安全管理 (7) 第三节设备资产管理 (7) 第三章网络安全管理 (8) 第一节网络规划、建设中的安全管理 (8) 第二节网络运行安全管理 (8) 第三节网间互联安全管理 (10) 第四节接入国际互联网管理 (10) 第四章计算机系统安全管理 (10) 第一节计算机系统开发与集成 (11) 第二节计算机系统运行 (11) 第三节业务操作 (12) 第四节计算机系统废止 (13) 第五章客户端安全管理 (13) 第六章信息安全保护 (14) 第一节使用管理 (14) 第七章文档、数据与密码应用安全管理 (14) 第一节技术文档 (14) 第二节存储介质 (15) 第三节数据安全 (15) 第四节口令密码 (16) 第五节密码技术应用管理 (16) 第八章信息通报、灾难备份与应急管理 (18) 第一节信息通报 (18) 第二节灾难备份管理 (18) 第三节应急管理 (19) 第九章安全监测、检查、评估与审计 (20) 第一节安全监测 (20) 第二节安全检查 (20) 第三节安全评估 (21) 第四节安全审计 (21) 第十章奖励与处罚 (22) 第十一章附则 (22)
银行信息安全管理办法(试行) 总则 为强化我行信息安全管理,防范计算机信息技术风险,保障(以 下简称我行)计算机网络与信息系统安全和稳定运行,根据《中华人 民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本办法。 第一条本规定所称信息安全管理,是指在我行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第二条我行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人 信息安全责任制。 第三条本规定适用于我行各部门、员工宿舍所有使用我行网络或 信息资源的个人均应遵守本办法。 第一章组织保障 第四条综合部下设信息安全保卫管理部,成立信息安全领导小组,全权负责协调本单位信息安全管理工作,决定本单位信息安全重大事宜。 组长:史亚萍
信息系统帐户密码管理规定
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 2.1适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、 应用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 2.2发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 3.1 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份 识别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 4.1总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 4.2总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
4.3总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 4.4负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 5.1帐户、密码的管理: 5.1.1 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 5.1.2 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 5.1.3 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 5.2账户、密码的使用及维护: 5.2.1 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 5.2.2 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。