账号口令管理办法
账户口令管理办法
目录
第一章总则 (4)
1.1概述 (4)
1.2目标 (5)
1.3范围 (5)
1.4要求 (5)
第二章帐号、口令和权限管理的级别 (7)
2.1关于级别 (7)
2.2如何确定级别 (7)
2.3口令、帐号和权限管理级别的定义 (7)
2.3.1等级1 –最低保障 (8)
2.3.2等级2-低保障级别 (8)
2.3.3等级3 –坚固保障级别 (9)
2.3.4等级4 –最高保障等级 (9)
第三章帐号管理 (11)
3.1职责定义 (11)
3.2口令应该以用户角色定义 (11)
3.2.1系统管理员/超级用户 (11)
3.2.2普通帐号 (11)
3.2.3第三方用户帐号 (12)
3.2.4安全审计员帐号 (12)
3.2.5对于各类帐号的要求 (12)
3.3帐号管理基本要求 (13)
3.3.1保障等级一需要遵守的规范 (13)
3.3.2保障等级二需要遵守的规范 (13)
3.3.3保障等级三需要遵守的规范 (13)
3.3.4保障等级四需要遵守的规范 (14)
3.4帐号管理流程 (14)
3.4.1创建用户帐号 (14)
3.4.2变更用户 (17)
3.4.3撤销用户 (19)
3.4.4定期复审 (20)
第四章口令管理 (21)
4.1通用策略 (21)
4.2口令指南 (21)
4.2.1口令生成指南 (21)
4.2.2口令保护指南 (22)
第五章权限管理 (24)
5.1概述 (24)
5.2根据工作需要确定最小权限 (24)
5.3建立基于角色的权限体系 (24)
5.4审计人员权限的界定 (25)
5.5第三方人员权限设定 (26)
第一章总则
1.1 概述
随着XXXX公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足xxx目前及未来业务发展的要求。主要表现在以下方面:
1.xxxx的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部
门和不同的业务系统,并且由相应的系统管理员负责维护和管理。所有系统具备不
同的安全需求级别,目前没有一个统一的规范描述和区分这种级别,导致对口令、帐号和权限的管理处于较为混乱的状况。
2.由于存在大量的帐号和用户,人员的变化、岗位的变化和需求变化会导致帐号管理
复杂度大大增加,必须有一套完整的帐号管理规范、流程,保证帐号的变化在可管
理、可控制的范畴内。
3.弱口令被猜中后导致系统被入侵是系统被入侵的最主要原因之一,因此如何管理口
令的生命周期,如何设置较强的口令成为当前一个重要的课题。特别是snmp口令
的缺省配置常常成为一个严重的问题。这些问题有些可以通过集中认证、双要素认
证等方式实现,但是最关键的还是应当通过建立规范和指南来实现。
4.即使有良好的帐号流程管理和控制,有正确的口令设置,仍然无法防止内部的滥用
和误用,因为这些滥用和误用的前提通常是用户已经有了一个口令和帐号,因此,必须对用户的权限进行严格的管理和限制,特别是利用系统功能实现最小授权的原
则。
5.由于各个系统存在的信任关系,整个系统一环套一环,一个被击破可能导致全线崩
溃,因此必须保障整个系统达到一致的安全水平。
总之,随着业务系统和支撑系统的发展及内部用户的增加,必须有一套规范可以保障系统的帐号、口令和权限被合理地管理和控制,达到系统对认证、授权和审计的需求。
1.2 目标
本管理办法的主要内容包括:
●定义帐号、口令和权限管理的不同保障级别;
●明确帐号管理的基本原则,描述帐号管理过程中的各种角色和组织职责,确定帐号
管理的流程:包括帐号的申请、变更、注销和审计;
●规定口令管理中的基本要求,例如口令变更频率,口令强度要求,不同类型帐号口
令的要求,提供口令生成的指南;
●确定权限分析和管理的基本原则和规范;
●确定审计需要完成的各项工作;
●给出流程中需要的各种表格。
1.3 范围
●网络和业务系统范围
适用范围包括CMNET、网管、MDCN、BOSS、OA/MIS等西藏电信全网所有计算机信息
系统和IP网络。
●帐号、口令和权限管理包括不同的层次范围
帐号、口令和权限管理涉及网络设备、主机系统、数据库、中间件和应用软件。
1.4 要求
●本规范制定了适合西藏电信的基本准则和级别划分规则,全公司应该遵照第二章
的级别划分要求对所有主机、数据和应用系统进行评估和级别划分,并针对每一
级别,遵循第三、四、五章的要求,明确哪些适合于哪些系统。
●评估报告的内容应该包括:
?所有主机资产列表
?每台主机/服务器/数据库/应用系统需要的帐号、口令和权限保障级别和原因,
主要评估方法是根据第二章中每一级别的特征逐条比较,选择最为接近的级别
?根据第三、四五章的要求,明确每一级别需要遵守的规范细节
●评估过程和方法应该透明,评估报告随评估结果和相关策略一并提交网络与信息安
全办公室。
第二章账户、口令和权限管理的级别2.1 关于级别
为了实现xxx所有IT信息系统的正常安全运行,我们在这里定义四个口令、帐号和权限管理的保障级别,这些级别确认不同系统对帐号管理的不同需要,不同级别的系统和设备需要不同级别的口令、帐号和权限管理的技术、管理制度和管理流程。通常来说,价值较低的系统被定义为需要较低的保障级别,价值较高的系统被定义为需要较高的保障级别。
2.2 如何确定级别
第一步:对各系统进行一次风险评估,风险评估的结果能够确定系统需要口令、帐号管理权限的保障级别并揭示由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果。由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果越严重,需要的安全措施越高,相应地需要的保障级别也越高。风险评估还应遵照本规范揭示相应的应用系统需要采取何种帐号、口令和权限措施,这些措施应该包括技术措施和管理措施。
第二步:匹配风险评估揭示的风险和口令、帐号和权限需要的保障级别。风险评估的结果应该被总结并得出结论,最终结论与下一节定义的各种级别进行比较,选择最为接近的级别作为该资产或者系统需要的口令、帐号和权限保障级别。当进行确认的时候,应当按照系统没有任何安全措施的情况来进行评估和比较,而不应当在假设某个系统已经使用了某个保障技术的情况下进行比较。另外对于一个系统的保障应该按照该系统可能受到的所有危害的最高级别来匹配保障级别。
第三步:确定使用何种口令、帐号和权限管理、技术措施,具体的结论应该以规范制度的形式加以规定。请注意,由于某些技术本身可能带来一些额外风险,应该确认该技术是否真的达到应用系统对应等级的需求,评估残余风险。
2.3 口令、账户和权限管理级别的定义
本节定义口令、帐号和权限管理需求的四个级别,我们将给出每个级别的特征和相关的
例子,级别分成1~4,数字越大表示需要的帐号、口令和权限管理保障信心等级越高。2.3.1等级1 –最低保障
描述
在第一等级保障的情况下,只有基本的甚至没有保障措施用于电子系统的帐号,等级一的情况下,错误的口令、帐号和权限管理可能导致:
●给电信、客户或者第三方带来最小的不便
●不会给电信、客户或者第三方带来直接的经济损失
●不会给电信、客户或者第三方带来不快
●不会给电信、客户或者第三方带来名誉或者地位的损失
●不会破坏电信、客户或者第三方需要执行的商业措施或者交易
●不会导致民事或者刑事犯罪
●不会向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息
举例:
●一个公司的内部交流论坛,不用于任何工作目标,可以自行注册帐号并发言,尽管
帐号的泄漏会带来一些不便和伪冒,但是由于不用于工作目的,因此不会造成大的
损失。
●未验收和未投入使用的系统,工程过程中的系统(假设没有涉及知识产权,例如软
件代码泄密的问题的情况下)
2.3.2等级2-低保障级别
描述
通过常用的措施即可保护系统的可信认证,必须充分考虑代价和认证安全性的平衡。这种等级的认证被误用或者破坏可能导致:
●给电信、客户或者第三方带来较小的不便
●给电信、客户或者第三方带来较小直接的经济损失或者没有直接经济损失
●会给电信、客户或者第三方带来较小的不快
●会给电信、客户或者第三方带来较小名誉或者地位的损失
●存在一定的风险,可能破坏电信、客户或者第三方需要执行的商业措施或者交易
●不会导致民事或者刑事犯罪
●存在一定风险,可能少量向未经授权的组织或个人暴露个人、电信、政府、商业的
敏感信息
举例:
●一台常用办公电脑,该电脑上没有存储任何机密文件,他的帐号被窃取可能导致公
司常用信息例如通讯录被泄漏。
●一个有查询系统的帐号,用户可以通过Internet注册来查询自己的帐单。该帐号
失窃可能导致用户信息的泄漏。
2.3.3等级3 –坚固保障级别
描述
通常等级三意味着正式的业务流程使用的帐号,通常需要较高信心来保证身份的认证和正确的授权,这种等级的认证被误用或者破坏可能导致:
●给电信、客户或者第三方带来较大的不便
●给电信、客户或者第三方带来较大直接的经济损失或者没有直接经济损失
●会给电信、客户或者第三方带来较大的不快
●会给电信、客户或者第三方带来较大名誉或者地位的损失
●存在较大的风险,会破坏电信、客户或者第三方需要执行的商业措施或者交易
●会导致民事或者刑事犯罪
●存在较大风险,可能大量向未经授权的组织或个人暴露个人、电信、政府、商业的
敏感信息
举例:
●一般的主机操作系统、数据库、和路由器的高权限帐号,例如root、administrator、
dba等。
●业务系统的关键管理帐号,可以读写重要的用户信息、业务信息和帐单信息。
2.3.4等级4 –最高保障等级
描述
等级四的保障通常对应需要非常大的信心保障的系统这种等级的认证被误用或者破坏
可能导致:
●给所有电信、客户或者第三方带来巨大的不便
●给电信、客户或者第三方带来极大直接的经济损失或者没有直接经济损失
●会给电信、客户或者第三方带来极大的不快
●会给电信、客户或者第三方带来巨大名誉或者地位的损失
●破坏电信、客户或者第三方需要执行的商业措施或者交易
●会导致民事或者刑事犯罪
●大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息
举例:
●关键系统,例如计费系统数据库主机的操作系统和数据库。
●用于存储公司最高商业机密或密级为绝密的系统的认证。
第三章账号管理
3.1 职责定义
●员工所在班组:负责发起员工帐号的创建、变更和撤消申请;
●员工所在部门系统管理员:负责维护和管理业务系统,对业务系统负全责,具体负
责帐号的具体生成、变更和删除,并进行定期审计;
●员工所在部门安全管理人员:负责审批、登记备案用户权限。
3.2 账号应该以用户角色定义
电信的帐号应基于统一的角色进行管理。帐号的角色可以从电信业务角度分或从IT管理角度分。如果从IT管理角度可以分为以下部分。
3.2.1系统管理员/超级用户
系统管理员和超级用户是有权限对系统的配置、系统最核心信息进行变更帐号的角色,通常每个系统至少具有一个或者一组该类帐号,该类帐号的管理应该最为严格,因为这些帐号可以对系统产生重大影响。超级用户和系统管理员帐号又可以分为以下二种:
◆系统自带超级用户:例如unix的root,windows的administrator,数据库
的dba,这类用户由于系统缺省使用,通常是口令攻击者的攻击目标,因
此必须妥善加以保护。
◆手工定义的超级用户:基本上所有系统都可以定义基本与系统缺省超级用
户等同权限的用户(一般在权限方面略又差别)。
3.2.2普通帐号
普通用户是用户用于访问业务系统,实现日常业务操作的用户,是最为常见的用户类型,例如email帐号、BOSS系统帐号、操作系统普通用户等。该类用户主要包括以下二类:
◆系统缺省普通帐号,例如unix中的lp、nobody等,这些帐号是系统为了
提供服务存在的特殊帐号,常常成为黑客的攻击目标,因此必须进行特别
的安全设置和审计。
普通帐号:用于实现业务操作和访问的帐号。
3.2.3第三方用户帐号
第三方帐号通常指由于某种特殊情况,系统允许电信以外的人员和组织访问的帐号。这类帐号通常包括代维用户帐号、临时故障登录帐号、客户登录帐号。这些帐号必须进行严格的权限管理和定期审计。其中客户登录帐号(例如网上营业厅)应给予特别保护。
3.2.4安全审计员帐号
在核心系统中,应该设置安全审计员帐号,该帐号可以对系统安全设置和日志信息进行专门的审计。
3.2.5对于各类帐号的要求
对于我们的四级保障体系,每一级别存在的不同用户类型和需求如下:
3.3 账号管理基本要求
3.3.1保障等级一需要遵守的规范
●设备或者应用系统由系统维护部门的系统管理员自行管理和划分权限。
●系统的帐号管理应该支持用户名和口令的机制,口令的存储尽量采用加密的方式;
●系统管理员自行审计和处理帐号的存在和启用是否合理。
3.3.2保障等级二需要遵守的规范
●本级别的需求应至少包括并高于其下等级的所有规范要求;
●非经部门系统管理员授权,不允许匿名账号的存在;
●口令应该以加密方式存储;
●不允许共享账号和口令,除非由部门经理授权,不允许将个人使用的口令告诉他人;
●系统必须打开安全日志,并保存1个月以上的安全日志。
3.3.3保障等级三需要遵守的规范
●本级别的需求应至少包括并高于其下等级的所有规范要求;
●要求必须在帐号相关备注字段或者一个集中的数据库中明确帐号的详细信息,至少
包括名字、联系电话、email;
●由于系统存在缺省帐号例如root、administrator帐号可能给口令猜测和系统漏洞
利用提供方便,因此在可能的情况下可以不使用该类帐号。在条件许可的情况下,
开发并使用一些工具(routine),避免向用户授予超级权限;
●超级用户口令应尽可能采用一次性口令或者双要素口令认证。超级用户口令要求每
个月不定期变更两次以上,普通用户口令要求每个月变更一次;对于3个月没有使
用的帐号应该评估是否删除;
●用户账号授权应该满足最小授权和必需知道的原则。必需知道原则指应该让用户有
权限访问他工作中需要用到的信息;最小授权原则指仅让用户能够访问他工作需要
的信息,其他信息则不能被该用户访问;
●系统必须有严格的安全日志机制并打开安全日志,该安全日志应该收集到部门的专
门日志集中管理主机上,日志应该能至少保存过去6个月的日志。
3.3.4保障等级四需要遵守的规范
●本级别的需求应至少包括并高于其下等级的所有规范要求;
●每3个月审计用户账号的最后一次使用时间、最后一次变更时间,对于3个月没有
使用的账号应进行评估是否删除;
●该级别系统不允许代维或者第三方帐号的存在。如涉及故障排查,必须增加临时帐
号,该帐号必须登记在案,并且排查过程中,电信维护人员全程陪同,排查结束后
立即删除临时帐号;
●系统必须打开所有日志,其中包括安全日志。日志存储在部门的专用日志主机上。
日志应能够保存半年。
3.4 帐号管理流程
3.4.1创建用户帐号
●本流程适合需要二级以上保障的系统,一级系统由系统管理员自行和需要帐号的人
员协商创建帐号,或者由管理员自行规定创建流程;
●新员工应仔细阅读本规范,了解本规范的要求和流程;
●新到员工的班组确定该员工需要的帐号和权限,通常包括:email帐号、内部工单
系统帐号、该员工参与或者负责的业务系统帐号等,应明确填写需要的帐号及权限,
班长填写附表一所示的员工帐号申请表,并由系统管理员签字;
●如果是第三方人员需要申请帐号,必须额外附上该第三方人员获得帐号的相关依据
(例如合同、协议以及单独签署的保密协议)。
●系统管理员将申请表提交到部门安全管理人员,部门安全管理人员审计其帐号设置
是否符合本规范的要求,并给出具体在系统中开户方式的建议,同时根据需要帐号
的级别(关键帐号和非关键帐号)分不同流程进行后续审批;
●关键帐号主要包括二、三级系统的系统管理员帐号和四级系统的所有帐号。非关键
帐号主要包括二、三级系统的非系统管理员帐号;
●对于非关键帐号,部门安全管理人员审批后将申请单交由系统管理员开户即可;
●对于关键帐号,应该由部门安全管理人员提交部门经理进行审批;
●当审批流程均结束后,应该进行帐号的创建,帐号的创建应该由系统管理员完成。
●开户完成后进入通知和备份流程。系统管理员应该在开户完成后立即通知申请开户
的班组。在开户完成后不允许使用固定的缺省口令,建议由系统使用一个随机口令或者系统管理员为用户设置一个专用口令。关键系统帐号和口令不允许使用未经加密的邮件发送。需要开户的员工接收到帐号后应立即修改口令,请选择本规范许可的口令。
用户创建的流程示意图如下:
用户申请
3.4.2变更用户
●本流程适合需要二级以上保障的系统,一级系统由系统管理员自行和确认帐号的变
更;
●当员工的岗位发生变化或者其他原因需要变更帐号(此处创建新帐号),因此该员
工所在班组应该牵头帐号的变更工作;
●需要变更员工的班组确定变更是否合理,班长填写附表二所示变更表,并提交系统
管理员签字确认;
●系统管理员将申请表提交到部门安全管理员,部门安全管理员审计其帐号设置是否
符合本规范的要求,并给出具体在系统中变更帐号方式的建议。同时根据需要变更
帐号的级别(关键帐号和非非关键帐号)分不同流程进行后续审批;
●非关键性变更是指修改帐号的名字、帐号的联系方式等非关键信息。关键性变更主
要指权限的变更;
●对于非关键性变更,部门安全管理员审批后将申请单交由系统管理员变更即可;
●对于关键性变更,应该由部门安全管理员提交部门经理进行审批;
●当审批流程均结束后,应该进行帐号的变更;
●开户完成后进入通知和备份流程。系统管理员应该在开户完成后立即通知申请需要
变更的班组。
用户变更的流程示意图如下:
者非关键性变更
3.4.3撤销用户
●遇有员工离职,在系统中删除相应的帐号应该是离职手续的一部分;
●员工所在班组应尽早直接以书面方式(见附表3)发出帐号撤消通知书到系统管理
员,系统管理员签字确认后提交到部门安全管理员,部门安全管理员根据记录给出
该员工目前拥有的帐号,并发送给系统管理员。
●系统管理员接到通知后应该立即暂停该用户权限,并对员工所使用的帐号进行安全
审计,审计的主要内容包括该帐号的实际权限是否符合记录、该帐号近期行为(日
志)是否符合规范等,同时做好相关备份和交接工作后,删除帐号;
●员工所在班组应该做好部门内部交接工作。
用户撤消的流程示意图如下:
3.4.4定期复审
●网络与信息安全小组必须每半年组织一次对现有用户的复审。审查是否有下列情况
发生:
◆员工实际已经离职,但仍在用户列表上。
◆员工虽然仍在电信工作,但不应该授予他使用某个业务系统的权利。
◆用户情况是否和部门安全管理员备案的用户帐号权限情况一致。
◆是否存在非法帐号或者长期未使用帐号
◆是否存在弱口令帐号
●复审由网络与信息安全办公室汇总打印出用户列表,然后由安全小组进行审查,审
查后得出各方签字的报告结论,并由部门的系统管理员进行相关的账号整理、删除
工作,部门安全管理员负责帐号的变更情况备案。
用户帐户及口令管理办法
信息系统用户及口令管理办法 第一章总则 第一条目的:为规避风险,杜绝安全隐患,进一步规范XX银行(以下简称“我行”)生产系统、测试环境和开发环境的用户及口令管理,特订定本办法。 第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。 第三条范围:本管理办法适用于我行及所辖分、支行。 第四条定义 (一)生产业务系统:指我行从事金融服务的应用网络系统,包括综合业务、外币业务、大小额支付、交换中心、银联前置等银行对外营业的各种核心业务系统。 (二)管理信息系统:指我行从事日常办公及信息管理的计算机网络系统,具体包括办公自动化系统、信贷管理、人力资源管理、风险管理平台等用来进行内部管理的应用软件系统。 (三)生产系统:包括生产业务系统和管理信息系统。 (四)开发环境:指我行所有进行开发的系统环境。 (五)测试环境:指我行所有进行测试的系统环境。 (六)系统管理员:我行科技信息部各系统硬件及软件的系统管理人员。 (七)数据库管理员:我行科技信息部各系统的数据库管理人员。 (八)应用系统管理员:我行科技信息部各系统的应用维护人员。 (九)测试人员:我行各测试系统的测试人员。 (十)开发人员:我行各应用系统的开发人员。 第五条遵循原则 (一)预防性原则:遵循以预防为主、防患于未然的原则,预防案件、事故的发生。 (二)可审计性原则:口令的过程必须保留痕迹,可被审计或追溯。
(三)有限授权原则:对任何人都不能授予过度的、不受监督和制约的权限。 (四)分离制约原则:每一次使用生产系统口令,都必须有两人同时参与,由双人分段管理口令。 (五)职责不相容原则:对不相容职责进行岗位分离。 (六)监督制约原则:针对口令的使用及记录,建立相应的监督检查机制。 第二章用户管理要求 第六条对于每个系统,应根据职责不相容原则,建立权责分离的业务矩阵表,定义系统不同用户组及其访问权限,包括终端用户、系统开发人员、系统管理员、应用系统管理员等用户组。生产系统用户按照“知所必需”的存取控制原则,填写《用户权限申请表》,相关部门负责人审批通过后由系统管理人员操作。 第七条用户账号必须由运行维护中心负责人和系统管理员进行检查,确保用户不会被赋予互相冲突的权限。以下职责互相不相容,且应由不同人员担任: (一)系统开发 (二)测试 (三)系统运行维护管理 (四)系统安全检查 第八条对于每个生产系统,系统管理员、数据库管理员及应用系统管理员的授权必须由IT管理层审批,活动日志必须由信息定期审阅。应用系统管理员根据业务部门要求,维护用户权限并定期生成系统用户权限清单,交相应业务部门负责人审批确认,对于发现的不恰当权限及时修正。系统管理员维护操作系统的用户权限并定期生成用户权限清单,交部门负责人审批确定,对于发现的不恰当权限及时修正。 第九条禁止开发人员在正常情况下进入生产系统。只有在得到管理层批准执行紧急修复任务时,开发人员才能在运行维护中心的监控下临时进入生产系统,所有的紧急修复活动都应立即进行记录和审核。
信息系统帐户密码管理规定
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
办公密码管理制度.doc
办公密码管理制度1 办公密码管理制度 一、总则 1.目的 为规范本公司办公密码的使用并确保其安全,特制定本制度。2.适用范围 适用于全体员工。 本公司办公密码包括以下五种类型: 1)办公系统管理密码 如:社保系统管理密码、BASSMAIL系统管理密码、财务系统管理密码等电脑开机密码—— 2)财务相关密码 如:保险箱密码、存折密码、U盾密码等 3)其他密码 如:招聘网站密码 二、办公密码管理细则 1.办公密码保管/借用 1)办公密码涉及公司机密文件及资料,各部门办公密码使用人妥善
管理自己使用的办公设备/系统密码,保管人员直接上级/部门负责人必须随时了解所管辖员工保管密码的更新情况。 2)若其他人员因工作需要使用到自己保管的密码,须经部门负责人 同意后才可将密码提供他人使用。在相关人员使用密码后的一个工作日内,须及时对密码进行修改,并及时填写《办公密码变更 登记表》申报更改。 2.电脑开机密码设置 除以下可设置开机密码的岗位以及总经理特批的情况以外,其他人员不得随意设置电脑开机密码。 注:*表示必须设置开机密码。 3.办公密码变更申报 1)需使用《办公密码变更登记表》申报变更的情况包括以下七种: ①更改密码、②更改使用人、③更换密码并更改使用人、④增加 备案人、⑤增加使用人、⑥新增密码、⑦其他。 2)申报负责人:一般情况下,办公密码变更申报由密码保管人(即 使用人)负责。如因人员离职/调动/休长假需变更密码,由员工直接上级进行申报。 3)申报时间:密码产生变更后一个工作日内。 4.办公密码登记备案
1)密码备案人(一般为部门经理、总监)负责备案管辖员工办公密 码,及时更新《办公密码设置登记表》。公司总经理备案公司所有人员的密码,各(项目部)部门负责人需备案管辖区域/部门所有人员的密码; 2)公司各员工如因工作需要需备案其他部门密码,应提前向相关部 门负责人申请,经过批准后才可进行密码的备案。 3)密码备案人接收密码保管人因密码变更而进行的《办公密码变更 登记表》申报时,须及时向相关人员核实确定密码变更情况,并 更新登记《办公密码设置登记表》。 4)综合管理中心负责存档备案公司部门《办公密码设置登记表》。 三、办公密码季度检查规定 1.本公司例行办公密码检查时间为每季度最后一月的28日-30日, 并根据总经理要求随时进行抽查。 2.办公密码检查工作由总经理指定人员进行。 3.办公密码检查工作关系到公司各类文件、资料的安全保密,检查 人需严肃认真对待,发现差异须如实记录并及时向相关部门汇报,不得推脱隐瞒或知情不报。检查人不得利用职务之便询问/打探办公密码。 四、办公密码管理工作各相关部门职责 1.项目部、各部门办公密码使用人
账号权限及密码管理制度
账号权限及密码管理制度 一、账号权限管理 1.做好系统管理员、业务管理员的备案;同时做好系统用户备案管理。 2.业务管理员需定期检查相关系统的账号权限分配情况,确保落实权限最小 化原则。角色分配应与岗位需求吻合,避免功能扩大。同一账户被赋角色 不得存在功能互相矛盾、嵌套情况。严格控制隐私信息查询、浏览、导出 权限。 3.限制超级账号的使用,并做好相应的使用审计工作。 4.业务管理员应及时解除无用账号相应权限,系统管理员应定期检查并禁用 或注销无用账号。 二、密码产品 1.使用符合国家密码管理规定的密码技术和产品。 2.密码算法和密钥的使用符合国家密码管理规定。 三、密码的设置 1.服务器的密码,由安全管理员和系统管理员商议确定,必须两人同时在场 设定。 2.服务器的密码须安全管理员在场时要由系统管理员记录封存。 3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少 于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密 码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。 4.密码要定期更换:一般重要设备密码更换周期不得多于180天; 四、密码和口令的保存 1.服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人; 若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成 工作后,系统管理员应该及时更改密码,保证密码安全。 2.服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备 案记录交于网络管理中心负责人封存。 3.密码更换后系统管理员需将新密码或口令记录登记封存。 4.如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心 负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查
电子认证服务密码管理规定
电子认证服务密码管理规定 第一条 为了规范电子认证服务提供者使用密码的行为,根据《中华人民共和国电子签名法》、《商用密码管理条例》和相关法律、行政法 规的规定,制定本办法。 第二条 国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。省、自治区、直辖市密码管理机构依据本办法承担有关监督 管理工作。 第三条 提供电子认证服务,应当依据本办法申请《电子认证服务使用密码许可证》。 第四条 采用密码技术为社会公众提供第三方电子认证服务的系统(以下 称电子认证服务系统)使用商用密码。电子认证服务系统应当由具有 商用密码产品生产资质的单位承建。 第五条 电子认证服务系统的建设和运行应当符合《证书认证系统密码及其相关安全技术规范》。 第六条 电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。 第七条
申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后,向所在地的省、自治区、直辖市密码管理机构提交下列材料: (一)《电子认证服务使用密码许可证申请表》; (二)企业法人营业执照或者企业名称预先核准通知书的复印件; (三)电子认证服务系统安全性审查相关技术材料,包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明; (四)电子认证服务系统互联互通测试相关技术材料; (五)电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件; (六)电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。 第八条 申请人提交的申请材料齐全并且符合规定形式的,省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐全或者不符合规定形式的,省、自治区、直辖市密码管理机构应当当场或者在5个工作日内一次告知需要补正的全部内容。不予受理的,应当书面通知并说明理由。省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内将全部申请材料报送国家密码管理局。 第九条 国家密码管理局对省、自治区、直辖市密码管理机构报送的材料进行核查,组织对电子认证服务系统进行安全性审查和互联互通测试,并自省、自治区、直辖市密码管理机构受理申请之日起15个工作日内,将安全性审查和互联互通测试所需时间书面通知申请人。电子认证服务系统通过安全性审查和互联互通测试的,由国家密码管理局发给《电子认证服务使用密码许可证》并予以公布;未通过安
密码使用管理规定
密码使用管理规定 Prepared on 22 November 2020
密码管理制度 一、目的 为确保本单位网络和信息系统的安全平稳运行,保障数据信息安全,特制订此管理制度。 二、适用范围 本制度适用本单位所有工作人员。 三、管理规定 1、本单位计算机登陆帐号、密码管理工作由技术部负责。 2、本管理制度所称的帐号、密码,是指登陆各应用系统、网络设备等各类 计算机软件、硬件系统的用户名和密码。 3、所有人必须提高安全认识,帐号和密码由用户自行保留,不得泄漏或转 借他人使用,不得借用他人帐号;不得利用帐号、密码从事破坏计算机软件系统、硬件系统的活动。 4、各类帐号的密码设置使用如下规则: 、密码字应超过8个字符; 、密码字应由字母和数字组成,重要帐号不要使用仅由字母或者数字组成的口令字; 、避免使用姓名、生日以及其他常用的密码; 5、对网络管理员、系统管理员和系统操作员所用密码需部门负责人在场时 由系统管理员记录封存,由技术部负责保存。
6、技术部有权力检查封存密码的有效性。检查时须由部门负责人启封,并由系统管理员登陆验证。 7、密码及口令要定期更换(视网络具体情况),口令更换周期不得长于三个月,更换后系统管理员要销毁原记录,将新密码或口令记录封存。 8、如发现密码及口令有泄密现象,系统管理员要立刻报告技术部负责人,同时要保护好现场并记录,需接到上级批示后再更换密码和口令。 9、遇到安全问题时,及时汇报上级领导,采取措施及时解决。 10、任何人不得利用各种网络设备或软件技术从事用户帐户及密码的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。 11、网络管理员、系统管理员、操作员调离岗位后一小时内由部门负责人监督检查更换新的密码; 12、侦听、盗用行为一经查实,将提请给予行政处分;行为恶劣、影响面大、造成重大损失的,依法交由公安部门处理。
账号密码管理办法
账号密码管理办法 为维护网络安全运行,确保公司各项文件资料不受侵害,促进各类密码统一管理,特制订此制度。 一、账号、密码设置对象 1.服务器(域名、阿里云、教师行动网、云平台、中考中招、各部门存档)账号密码等; 2. 公司网站用户(云平台、教师行动网、中考中招)、后台账号等; 3.公司官网、微信、微博等与公司宣传有关的账号、密码; 4. 因工作需要,在政府或第三方机构等网站注册的账号、密码; 5. 需加密的文件资料; 6. 上述未列出的其他与工作有关的账号密码。 二、密码的设置 1.公司各项密码,由直接责任人及部门负责人商议确定,密码可由直接责任人设定,并报部门负责人知晓及备案。 2.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少于8个字符;机密级对象,设置的密码长度不得少于10个字符;设置密码时应尽量避开有规律、易破译的数字或字符组合。 三、密码的修改 1.公司因实际需求,修改(更换)各项密码,须向直接责任人申请,并得到部门负责人同意才允许更改密码。
2.所有离职的员工须履行密码交执程序,及时上交公司各项账户密码。由部门负责人通知相关人员及时修改相应密码。 3.定期更换密码:一般服务器密码更换周期不得超过60天。 四、账号和密码的保存 1.公司设置的各项用户密码由直接责任人自行保存,严禁将各项密码告知他人;若因工作需要必须告知,应按程序请示上级领导,经上级领导批示后方可告知相应密码。一旦对方工作完成,直接责任人必须及时更改密码,确保密码安全。 2.公司的各项密码均由各部门负责人负责建立《密码信息表》(详见附表)、管理保存、及时更新,须将《密码信息表》(详见附表)提交至行政部档案管理员备份。档案管理员按月进行核查。 3.各项密码直接责任人对所管理的密码,严禁通过各种渠道漏密,切勿出现忘记密码、遗失密码等情况。否则,将视情况承担相应工作失职的责任,部门负责人亦将承担部门管理连带责任。 4.如发现密码有泄密迹象或黑客入侵,密码直接责任人应立刻报告上级领导,并严查泄密源头、修补系统漏洞,采取一切可行的方式规避公司损失,并将详细情况以书面形式及时上报上一级领导。 五、处罚 针对上述条款,违反者公司将依据情节轻重给予50元至1000元罚款,情节严重者将移送司法机关。
帐号口令及权限管理组织规定
帐号口令管理制度
目录 第一章总则 (4) 1.1 概述 (4) 1.2 目标 (5) 1.3 范围 (5) 1.4 要求 (6) 第二章帐号、口令和权限管理的级别 (7) 2.1 关于级别 (7) 2.2 如何确定级别 (7) 2.3 口令、帐号和权限管理级别的定义 (8) 2.3.1 等级1 –最低保障 (8) 2.3.2 等级2-低保障级别 (9) 2.3.3 等级3 –坚固保障级别 (10) 2.3.4 等级4 –最高保障等级 (10) 第三章帐号管理 (12) 3.1 职责定义 (12) 3.2 口令应该以用户角色定义 (12) 3.2.1 系统管理员/超级用户 (12) 3.2.2 普通帐号 (13) 3.2.3 第三方用户帐号 (13) 3.2.4 安全审计员帐号 (13) 3.2.5 对于各类帐号的要求 (13)
3.3 帐号管理基本要求 (14) 3.3.1 保障等级一需要遵守的规范 (14) 3.3.2 保障等级二需要遵守的规范 (14) 3.3.3 保障等级三需要遵守的规范 (15) 3.3.4 保障等级四需要遵守的规范 (15) 3.4 帐号管理流程 (16) 3.4.1 创建用户帐号 (16) 3.4.2 变更用户 (20) 3.4.3 撤销用户 (22) 3.4.4 定期复审 (23) 第四章口令管理 (25) 4.1 通用策略 (25) 4.2 口令指南 (25) 4.2.1 口令生成指南 (26) 4.2.2 口令保护指南 (27) 第五章权限管理 (28) 5.1 概述 (28) 5.2 根据工作需要确定最小权限 (28) 5.3 建立基于角色的权限体系 (28) 5.4 审计人员权限的界定 (29) 5.5 第三方人员权限设定 (30)
医院信息化账号和密码管理制度
医院信息化账号和密码管理制度 一、用户管理制度: 1、只有院长有权向信息管理部索取员工的账号和密码。 2、医院员工对本人账号和密码必须遵守以下规定: (1)新员工凭人事科报到单,到信息管理部配置账号和密码;员工离院时:到 信息管理部注销账号和密码;人事科凭信息管理部“已注消账号和密码”的依据同意员工调出或离院;财务科凭信息管理部“已注消账号和密码”的依据结付相关费用。 (2)员工不得将本人的账号和密码告诉其他人或写在任何其他人可得到的 书面资料上,并每隔60天定期修改密码,对有疑问的密码应及时修改。 (3)任何人员不得使用他人的账号和密码,也不得将工作范围内可接触到 的数据告诉其他任何未经授权的人员,并在离开终端时及时退出计算机系统。 (4)密码应至少为六位,可以是字母与数字的组合。 二、系统操作分级管理制度 1、本院系统管理首先确定为管理对象重要级别。从1-3级别区分,以一级为最高等级。不同的级别制定相应的密码权限安全管理方案。 2、一级设备为主数据库服务器和核心网络设备。这些设备的密码保存人为 信息管理部主任与服务器管理员。所能操作人员仅限于服务器最高权限的管理 员。采取统一入口管理。在一些重大操作,必须有文字记录。 3、二级设备主要是普通服务器、接入交换机和数据库密码。密码保存人为 信息管理部主任与信息管理部工作人员。对于一些重大操作,必须有文字记录。 4、三级设备为安装在各使用部门的电脑,密码由相关科室设备负责人自行 保管。 5、对于设备具体分级细则,在遵循以上原则的情况下,细节由信息管理部 内部协商判断而制定。 6、对于密码,数据泄露,造成业务中断,或相关私密数据泄露。将临时通 过技术手段保护与监控相应设备。待问题解决后。整理所有相关数据整理后上报医院存档。
办公密码管理制度
第一章总则 第一条目的 为规范本公司办公密码的使用并确保其安全,特制定本制度。 第二条适用范围 适用于全体员工。 第三条办公密码的分类 本公司办公密码包括以下五种类型: 第二章办公密码管理细则 第四条办公密码保管/借用 1、办公密码涉及公司机密文件及资料,各部门办公密码使用人妥善管理自己使用的办公设备/系统密码,保管人员直接上级主管/经理必须随时了解所管辖员工保管密码的更新情况。 2、若其他人员因工作需要使用到自己保管的密码,须经部门主管同意后才可将密码提供他人使用。在相关人员使用密码后的一个工作日内,须及时对密码进行修改,并及时填写OA流《办公密码变更登记表》申报更改。 第五条电脑开机密码设置 除以下可设置开机密码的岗位外以及行政部经理特批的情况以外,其他人员不得随意设置电脑开机密码。 第六条办公密码变更申报 1、需使用OA流《办公密码变更登记表》申报变更的情况包括以下七种:①更改密码、②更改使用人、③更
换密码并更改使用人、④增加备案人、⑤增加使用人、⑥新增密码、⑦其他。 2、申报负责人:一般情况下,办公密码变更OA申报由密码保管人(即使用人)负责。如因人员离职/调动/休长假需变更密码,由员工直接上级进行OA申报。办公室主任负责进行店面办公密码变更OA申报。 3、申报时间:密码产生变更后一个工作日内。 第七条办公密码登记备案 1、密码备案人(一般为部门主管、经理)根据《各岗位人员密码设置对照表》(附件四)的要求,负责备案管辖员工办公密码,及时更新《办公密码设置登记表》。一般情况下,行政经理/部门经理需备案管辖区域/部门所有人员的密码;部门主管只备案本科室各人员的密码。 2、公司各员工如因工作需要需备案其他部门密码,应提前通过公Q向相关部门经理申请,经过批准后才可进行密码的备案。 3、密码备案人接收密码保管人因密码变更而进行的OA流《办公密码变更登记表》申报时,须及时向相关人员核实确定密码变更情况,并更新登记《办公密码设置登记表》。 4、行政管理科负责存档备案各区域/部门《办公密码设置登记表》。 第三章办公密码季度检查规定 第八条本公司例行办公密码检查时间为每年3、6、9、12月28日-30日。 第九条行政文秘/行政会计负责季度办公密码检查工作,如因文秘需看管前台,店面办公密码季度检查工作可由办公室主任开展。 第十条检查出纳所保管的存折密码可由办公室主任/行政助理不定期进行,一般在出纳需到银行取款时随同前往,只需检查出纳是否记得该存折密码,不需了解密码的具体内容。 第十一条办公密码检查工作关系到公司各类文件、资料的安全保密,检查人需严肃认真对待,发现差异须如实记录并及时向相关部门汇报,不得推脱隐瞒或知情不报。检查人不得利用职务之便询问/打探办公密码。 第四章办公密码管理工作各相关部门职责 第十二条店面、办公密码使用人 1.持有办公密码的人员须对密码安全保密负责,不得向他人泄露密码。如发生密码丢失/被盗/转借他人使用等情况,一个工作日内更改密码并填写OA变更申报。遇无法处理的情况立即向上级部门汇报。 2.店面办公密码如有变更,统一告知办公室主任,由办公室主任填写OA变更申报。 第十三条办公密码备案人 1.备案人负责管辖员工办公密码的登记备案,收到密码变更信息须及时更新《办公密码设置登记表》。 2.每月第五个工作日。总部各部门经理、分区行政经理需将有变更的《办公密码设置登记表》通过邮件形式
银行用户口令管理规定
新民市农村信用社计算机系统用户口令(密码)安全管理规定 第一章总则 第一条为加强我县计算机系统用户口令(密码)的安全管理,提高我县计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,结合我县计算机系统用户口令(密码)安全管理的实际情况,特制定本规定。 第二条新民联社及其所属各级营业网点的计算机系统用户口令(密码)的安全管理适用本规定。本规定不包括我县应用系统中客户口令的安全管理,对于客户口令的安全管理应遵照执行相关规定。 第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。计算机系统用户口令主要为静态口令。静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。计算机系统用户口令主要包括:主机系统(此项口令管理仅指联社办公网络的主机系统)、网络设备、综合业务系统、安全设备、办公计算机系统用户口令等系统用户口令; 第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。 1 第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸介质中(密码信封除外),严禁将口令放臵在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。 第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。
账号密码及权限管理制度
XXXX公司 账号密码及权限管理制度 1总则 1.1 目的 为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。 1.2 范围 所有使用本公司网络信息系统的人员。 1.3 职责 公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。 1.4 术语和定义 内部网络:是指在本公司内部所有客户端等组成的局域网。包括但不限于OA 系统以及数据库系统等。 2控制内容 1.1 用户注册 ?新用户必须加入域,否则不允许入网。 ?域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名 原则为职工工号。
?一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对 其操作行为负责。 ?用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有 账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规 避风险。 ?系统管理员应定期检查并取消多余的用户账号。 1.2 权限管理 ?行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申 请是否与信息安全策略相违背。 ?特权用户必须按授权程序通过系统等部门主管批准,才可给予相应的权 限。 ?系统管理员应保留所有特权用户的授权程序与记录。 ?权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户 的单独监控。 ?只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。 ?系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授 予权限。 ?对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待 者申请为其办理授审批程序。 1.3 密码的选择 密码的选择应参考以下规则:
信息系统帐户密码管理规定
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 2.1适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、 应用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 2.2发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 3.1 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份 识别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 4.1总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 4.2总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
4.3总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 4.4负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 5.1帐户、密码的管理: 5.1.1 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 5.1.2 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 5.1.3 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 5.2账户、密码的使用及维护: 5.2.1 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 5.2.2 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
用户账号管理制度
用户账号管理制度 为充分保护用户的个人隐私、保障用户账号,特制订用户账号管理制度。 1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相应规章制度。 2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。 3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存在本网站中的非公开内容,但下列情况除外: ①违反相关法律法规或本网站服务协议规定; ②按照主管部门的要求,有必要向相关法律部门提供备案的内容; ③因维护社会个体和公众的权利、财产或人身安全的需要; ④被侵害的第三人提出合法的权利主张; ⑤为维护用户及社会公共利益、本网站的合法权益的需要; ⑥事先获得用户的明确授权或其它符合需要公开的相关要求。 4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密
码,严格保密,严禁向他人泄露。
5、每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标,也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,有义务立即通告本网站。 6、如用户不慎泄露登陆账号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。 严格执行本规章制度,并形成规范化管理,并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络信息安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。 (注:文档可能无法思考全面,请浏览后下载,供参考。可复制、编制,期待 你的好评与关注)
信息系统密码管理办法
1.0目的 为了确保网络安全运行,阻止黑客攻击或非法用户越权防问,防止敏感信息的丢失、泄漏或破坏,保证公司的利益。 2.0适用范围 本规范适用于公司所有应系统、网络设计以及网络终端的密码管理。 3.0定义 4.0职责 4.1 IT部:IT部负责本规范的制定和维护;IT负责本规范的执行与监督。 5.0规范内容 5.1每个系统管理员、维护人员或用户的帐号和密码必须是一一对应的。 5.2 密码最长期限:密码的有效期限根据系统特点在系统内设置,当密码的使用时间达到 或超过此期限时,系统会自动要求用户更改密码。用户应及时按提示更改密码,否则 系统会将用户账号锁定。 5.3强制密码历史:密码不应与原有密码相同,否则就失去了密码期限限制的作用。域用 户只有在更改过3次密码后,才能再次使用以前的密码,但不可使用IT部门交付的初 始密码 5.4 密码最小长度:密码最小长度为6位字符,系统管理员和系统维护人员的密码长度至少 为8位字符。 5.5密码复杂性要求密码至少应包括以下四种字符中的3种:
5.5.1大写英文字符 5.5.2小写英文字符 5.5.3阿拉伯数字 5.5.4特殊符号(如!/$/#/%等) 5.6用户密码不能包含用户名称中的3个或3个以上字符。 5.7以下情况发生后,帐号将被锁定: 5.7.1连续五次输入错误的密码后; 5.7.2超过密码最长期限仍未更改密码; 5.7.3计算机黑客攻击。 当出现用户账号被锁定的提示时,用户应联系IT部处理。 5.8 每个密码所有者都应该确保密码不被他人所知,一旦密码被他人获得,应及时更改密 码或者通知IT部处理。 5.9Active Directory的Administrator用户必须在改名后,由风控组系统管理员保管, 各系统管理员在日常工作使用各自的授权用户名。 6.0 相关表单 7.0附则 本办法由IT部拟定并负责解释,经EMT审批后下发实行。 8.0附件 无
密码管理制度
文档 . 密码管理制度 为进一步加强密码设备的管理、及时、妥善处置突发性涉密问题,防止失、泄密事件的发生,根据《保密法》和上级行有关规定,制定本办法。 一、组织机构 成立密码设备管理委员会,负责对密码设备管理工作的领导。 二、委员会职责 1、及时召开会议学习上级有关密码设备管理工作的文件,总结研究部署密码设备管理工作。 2、定期或不定期对密码设备的使用情况、管理工作开展情况进行检查,查找隐患、堵塞漏洞、防范风险,确保密码设备的绝对安全和正常运行。 3、加强密码队伍建设,加强密码设备管理人员的政治思想教育和保密意识教育,定期地向全局干部职工进行遵纪守法和职业道德教育,努力做到不出现失、泄密事故。 三、具体要求 1、涉密部门应由专人保管密码设备,做到责任到人。 2、涉密部门应严格执行保密规定,履行密码设备使用手续,按规定权限使用设备,注意保密。 3、涉密部门应加强对密码设备、密押印文及一切有关国家机密文件、电报、函件、资料、统计数字的保密,严禁携带回家或在外出时对外泄露。 4、当密码设备发生技术故障时,设备所属部门应及时与密码设备管理委员会报告,委员会将应及时报告上级行进行设备维修或更换。 5、涉密部门发生密码设备丢失、密码设备被盗失控、密码丢失、密码被窃失控可能造成国家损失的紧急涉密事件发生时,应立即、及时将情况上报密码设备管理委员会,支行密码设备管理委员会通过检查现场、询问相关人员等方式及时查清情况,并报上级主管单位。 6、本办法所指密码设备为密押机、密押卡、带有转字密码的保险库(箱)、涉及使用密码的电子计算机设备等。 7、本办法所指涉密部门为拥有、使用密码设备的部门。
公司计算机系统用户口令(密码)安全管理规定
公司计算机系统用户口令(密码)安全管理规定第一章总则第一条为加强公司计算机系统用户口令(密码)的安全管理,提高计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,特制定本规定。 第二条公司、各下属子公司的计算机系统用户口令(密码)的安全管理适用本规定。 本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。 第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。 计算机系统用户口令主要为静态口令、动态口令等。 静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。 动态口令一般是指根据动态机制生成的、一次有效的口令。 计算机系统用户口令主要包括: 主机系统(数据库系统)、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。 第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。 第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。 第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。 第七条计算机系统用户口令持有人应保证口令具有较高安全性。
口令管理规定
附件: 天津市电力公司 信息系统帐号、口令管理规定(试行) 第一章总则 第一条为了规范天津市电力公司信息系统中终端计算机、服务器、网络设备、应用与系统相关帐号、口令的建立、使用、维护,保证计算机安全和天津市电力公司信息系统正常有序的运行,特制定本管理规定。 第二条本规定适用于所有使用公司信息系统的用户,包括数据库系统管理员、业务系统管理员、网络管理员、业务系统的使用人员。同样适用于天津市电力公司信息系统范围内所有使用个人计算机及网络的员工。 第二章术语解释 第三条授权用户: ●天津市电力公司内部人员:指天津市电力公司的在册职工; ●非天津市电力公司内部人员:指临时到天津市电力公司工作,但非天津市电力公司正式员工的人员,包括但不限于开发商、 集成商、供应商、顾问、合作人员、临时工、外聘人员、外包业
务人员等。 第四条帐号 ●帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式; ●管理员帐号:指在系统中具有较大的权限,能对网络、应用、系统进行关键性设置权限的账号,典型用户为系统管 理员; ●超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员, 数据库的DBA等用户; ●公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内; ●匿名帐号:供不确定身份的人员使用的帐号。 第五条口令 ●口令:指系统为了认证帐号使用人的身份而要求使用人提供的证据,如在数据库系统的口令,办公自动化系统的帐 号文件及帐号口令; ●健壮口令:具有足够的长度和复杂度,难于被猜测的口令; ●弱口令:仅由字母、单词、数字或其简单的组合,
信息系统密码管理办法
信息系统密码管理办法 第一章总则 第一条密码是验证系统用户身份和权限的常用手段之一,被广泛用于计算机用户及服务权限的识别与认证,优质的密码有利于保障信息系统被合法使用。为有效控制医院信息科技风险,加固系统安全,防止未经授权的访问与操作,特制订本管理办法。 第二条信息系统用户被识别和认证的强度与其访问内容的敏感性和重要性相关。用户可访问和操作的事项越敏感、重要程度越高,则其受保护的强度也就越大。通常来说,系统级的用户比普通的访问用户的敏感性更高,对其密码的保护强度也越大。 第三条本管理办法适用于**县**医院管辖范围内的各类信息系统的密码设置管理。 第二章组织机构与职责 第四条信息系统管理部门包括:信息科和信息系统对口业务部门。信息科和对口业务部门在进行信息系统开发和维护时,应充分地考虑通过采用适当的密码策略使系统的各类合法用户的访问能够得到合理和适度的保障。 第五条对于**县**医院的各类信息系统密码设置管理,信息科应主导信息系统对口业务部门采用适当的密码策略,包括:
(一)在新信息系统开发阶段,必须依据系统访问控制的要求部署强有力的密码策略。 (二)在现行信息系统运营维护阶段,应依据密码安全管理基本要求完善密码管理及使用流程,同时可针对信息安全级别高的系统单独制定高于本策略要求的密码管理制度及规范,以保护医院各类信息资产的安全。 第三章信息系统密码设置及控制措施 第六条**县**医院信息系统用户包含内部用户和信息系统外部用户: (一)信息系统内部用户分为系统级用户和普通级用户,系统级用户是指信息科和信息系统对口业务部门的系统管理人员;普通级用户为**县**医院各信息系统的内部合法用户。 (二)信息系统外部用户为**县**医院对外提供的各类业务服务系统涉及密码设置和使用的合法客户。 第七条对于各类内部用户,信息系统管理部门在进行用户密码设置和管理时,应在系统中设定密码相关控制措施:(一)应强制内部用户使用优质密码,并使用监控工具检查密码的强度和长度是否合格:用户密码长度至少含有8个字符,应同时包括字母和非字母字符(数字或特殊字符等)。 (二)对于现行重要信息系统,因为信息系统自身限制导致密码强度和长度暂不能达到要求的情况,应在该重要信息系统进行变更或升级换代时满足密码强度和长度的要求,同时对于未能达到要求的事项信息科应予以记录并归档。
办公密码管理制度
办公密码管理制度 一、总则 1.目的 为规范本公司办公密码的使用并确保其安全,特制定本制度。2.适用范围 适用于全体员工。 本公司办公密码包括以下五种类型: 1)办公系统管理密码 如:社保系统管理密码、BASSMAIL系统管理密码、财务系统管理密码等电脑开机密码—— 2)财务相关密码 如:保险箱密码、存折密码、U盾密码等 3)其他密码 如:招聘网站密码 二、办公密码管理细则 1.办公密码保管/借用 1)办公密码涉及公司机密文件及资料,各部门办公密码使用人妥善 管理自己使用的办公设备/系统密码,保管人员直接上级/部门负责人必须随时了解所管辖员工保管密码的更新情况。 2)若其他人员因工作需要使用到自己保管的密码,须经部门负责人 同意后才可将密码提供他人使用。在相关人员使用密码后的一个工作日内,须及时对密码进行修改,并及时填写《办公密码变更
登记表》申报更改。 2.电脑开机密码设置 除以下可设置开机密码的岗位以及总经理特批的情况以外,其他人员不得随意设置电脑开机密码。 注:*表示必须设置开机密码。 3.办公密码变更申报 1)需使用《办公密码变更登记表》申报变更的情况包括以下七种: ①更改密码、②更改使用人、③更换密码并更改使用人、④增加 备案人、⑤增加使用人、⑥新增密码、⑦其他。 2)申报负责人:一般情况下,办公密码变更申报由密码保管人(即 使用人)负责。如因人员离职/调动/休长假需变更密码,由员工直接上级进行申报。 3)申报时间:密码产生变更后一个工作日内。 4.办公密码登记备案 1)密码备案人(一般为部门经理、总监)负责备案管辖员工办公密 码,及时更新《办公密码设置登记表》。公司总经理备案公司所有人员的密码,各(项目部)部门负责人需备案管辖区域/部门所有人员的密码; 2)公司各员工如因工作需要需备案其他部门密码,应提前向相关部 门负责人申请,经过批准后才可进行密码的备案。 3)密码备案人接收密码保管人因密码变更而进行的《办公密码变更 登记表》申报时,须及时向相关人员核实确定密码变更情况,并
ERP系统用户帐号管理办法
ERP系统用户帐号与角色权限管理办法、目的 为加强集团ERP系统用户帐号和用户权限申请与审批的规范化管理, 确保ERP系统安 全、有序、稳定运行,特制定本管理办法。 二、适用范围 适用于XXX集团ERP系统(含CA系统)的账号申请和权限的管理。 三、名词解释 用户:被授权使用ERP系统或负责维护ERP系统的人员。 用户帐号:在ERP系统中设置与保存、用于授予用户合法登陆和使用ERP系统权限的用户信息,包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。权限:允许用户操作ERP系统中某功能点或功能点集合的权力范围。 角色:ERP系统中用于描述用户权限特征的权限类别名称。 四、管理原则统一管理原则:由集团运营管理中心统一管理用户账号申请和角色权限管理。实名制管理原 则:为保证ERP系统的运行安全和对用户提供跟踪服务,各业务系统用户 帐号的申请注册实行“实名制”管理方式。 安全保密原则:ERP系统账号和密码(含CA证书的密码)是ERP系统用户操作ERP系统的唯一身份验证。所有ERP用户均需要保守信息安全,不得泄露本人的账号、密码,不得打听、窃取他人的账号密码,否则由于用户账号密码泄露造成的损失,账号持有人要承担主要责任。 五、工作职责运营管理中心系统管理员:负责支持建立、取消用户的账号,根据角色分配用户账号的权 限。 六、用户帐号实名制注册管理:六、用户帐号申请、审批与注销 (一)帐号申请 1、任何一个用户帐号的申请与开通均必须经过统一制定的帐号申请与审批备案管理流程,且一个用户 在ERP系统中只能注册和被授予一个用户帐号。 2、业务系统的用户帐号及角色权限的申请开通、注销、密码初始化和帐号有效期续期等帐号管理工作 均使用统一制定的《用户帐号申请单》(附件1)办理。 3、《用户帐号申请单》包括三部分填写内容:(1)申请人情况;(2)帐号申请情况; 3)受理单位意见。其中(1)申请人情况和(2)帐号申请情况两部分由申请人填写,并加盖 申请人所在人力资源公章;(3)受理单位意见由受理单位填写。《用户帐号申请单》具体填 写要求见填表说明。 4、为保证ERP系统的运行安全和对用户提供跟踪服务,各业务系统用户帐号的申请注册实行“实名 制”管理方式,即在用户帐号申请注册时必须向集团运营管理中心提供用户真实姓名、隶属单位与 部门、联系方式、身份证号等真实信息。 5、用户帐号申请属网络注册的,只须在网络注册完毕后等待受理单位开通通知;如果是手填,加盖申