用户帐户及口令管理办法
网络账号安全管理制度

网络账号安全管理制度一、总则为了保障网络账号的安全,防止账号被恶意攻击、盗取或被滥用,提高网络信息安全防护能力,特制定本管理制度。
二、适用范围本管理制度适用于公司内所有员工、外包人员、顾问等使用或管理的所有网络账号。
三、网络账号安全管理责任1. 公司网络安全部门负责全公司网络安全的管理和维护工作。
2. 公司各部门负责其管辖范围内网络账号的安全管理。
3. 公司员工必须严格遵守网络账号安全管理制度的要求,认真保护自己的账号信息,并主动报告账号安全问题。
四、网络账号注册管理1. 员工使用公司邮箱或者专门指定的邮箱进行注册。
2. 员工应当使用真实身份信息进行注册,并仔细填写注册信息。
3. 注册时必须使用强密码,密码长度不少于8位,包含字母、数字和特殊字符。
4. 注册完成后,应立即修改初始密码,并不定期更换密码。
五、网络账号使用管理1. 员工应当保管好自己的账号信息,不得将账号密码告知他人。
2. 员工不得将自己的账号转让或者共享给其他人。
3. 员工应当定期检查账号的登录记录,及时发现异常情况并及时报告。
4. 员工不得使用他人账号进行操作,如有需求应当申请额外权限。
5. 员工应当在使用完毕后及时退出账号,不得长时间保持登录状态。
六、网络账号权限管理1. 员工应当根据自己的工作需要获得相应的权限,不得滥用权限。
2. 分配权限应当根据员工的工作职责和需要来合理设置。
3. 员工离职或调动时,应当及时收回其账号的相关权限。
七、账号安全事件处理1. 如发现账号被盗用、密码泄露等情况,员工应当第一时间向网络安全部门报告,并及时更改密码。
2. 网络安全部门应当立即对账号安全事件进行调查处理,并通知相关员工及时处理。
3. 对于频繁发生账号安全事件的员工,网络安全部门可以对其账号采取限制或者锁定等措施。
八、知识普及和培训1. 公司应当定期对员工进行网络安全知识培训,提高员工的安全意识。
2. 员工应当定期参加网络安全知识培训,不断提升自己的安全防护能力。
2023年账户管理制度

2023年账户管理制度2023年账户管理制度1第一章总则第一条为加强用户账号管理,规范用户账号的使用,提高信息系统使用安全性,特制定本制度。
第二条本制度中系统账号是指应用层面及系统层面(操作系统、数据库系统、信息管理系统、防火墙及其它网络设备)的用户账号。
第三条本规定所指账号管理包括:1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理3、用户账号密码的管理。
第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。
第五条信息管理中心根据系统拥有部门提交的《岗位权限对照表》增加系统岗位权限控制。
第六条用户账号申请、审批及设置由不同人员负责。
第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。
超级管理员、系统管理员与系统管理监督员不能由同一人担任,并不能是系统操作用户。
1、超级管理员:负责按照领导审定的《信息系统权限申请表》(附件二)进入系统管理员的授权管理。
2、系统管理员:负责按照领导审定的授权进行录入,并对系统运行状况以及系统用户数据录入进行管理。
系统管理员应对录入的授权和系统运行状态建立台帐,定期向系统管理监督备案。
3、系统管理监督员:负责对录入的数据和授权进行监督,并建立用户权限台帐,定期对系统管理员录入的授权和系统运行状态以及用户录入数据进行监督检查。
4、普通用户:负责对系统进行业务层面的操作。
第八条信息管理中心将定期抽取系统岗位和用户清单进行检查,发现可疑授权、可疑使用将根据实际情况予以通报修正,并将检查结果记入信息化年度考核中。
第二章普通账号管理第九条申请人使用统一规范的《信息系统权限申请表》(附件二)提出用户账号创建、修改、禁用、启用等申请。
第十条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致,确保权限分配的合理性、必要性和符合职责分工的要求。
口令管理制度范文

口令管理制度范文第一章总则为规范口令管理,加强信息安全,保障企业和个人的利益,根据《中华人民共和国网络安全法》等相关法律法规和国家标准,制定本制度。
第二章适用范围本制度适用于本企业所有员工,以及与本企业合作的相关单位和个人。
第三章口令管理的基本原则1.口令的设置应当具有一定的复杂性,包括数字、字母、符号的组合,长度不少于8位。
2.口令应当定期更换,原则上每三个月更换一次。
3.口令应当采取加密存储,不得以明文形式存储在电脑或通信设备中。
4.口令不得外泄、共享,不得以任何形式写在电脑、纸质文件或其他地方。
5.口令丢失或泄露应当及时报告。
第四章口令的设置和管理1.口令的设置应当遵循以下原则:(1)不使用出现在字典中的单词;(2)不使用重复的数字、字母或符号;(3)不使用与个人信息相关的内容,如生日、家庭地址等;(4)应结合大小写字母、数字和符号组成。
2.口令的管理:(1)口令由系统管理员统一设置,并告知用户;(2)口令的更换由系统管理员统一组织,并告知用户;(3)口令忘记或泄露应当及时向系统管理员报告。
第五章口令的使用1.口令的使用:(1)口令需在登陆、操作或修改相关信息时使用;(2)口令不得用于访问未经授权的系统或信息;(3)不得以明文形式在网络上传输口令。
2.口令的保护:(1)不得将口令告知他人;(2)不得将口令以邮件、即时通讯等方式发送给他人;(3)不得在公共场所输入口令,尤其是ATM机、网吧等地方;(4)在使用他人设备时,不得保存或记录自己的口令。
3.口令的更改:(1)用户应按照规定定期更改口令;(2)用户应及时更改可能已泄露的口令。
第六章口令的泄露和丢失1.口令的泄露:(1)一旦发现口令泄露,应当立即修改;(2)及时向系统管理员报告,配合系统管理员进行相关调查。
2.口令的丢失:(1)口令丢失应当立即向系统管理员报告;(2)在确认口令丢失后,应及时更改。
第七章口令安全培训1.新员工入职时应进行口令安全培训;2.定期组织口令安全知识的宣传和培训;3.对发生口令泄露事件的员工进行口令安全培训。
ISO27001系统权限授予及密码管理办法

惠州培训网
更多免费资料下载请进: 好好学习社区
系统权限授予及密码管理办法
信息系统作为资源管理系统,必须有其安全性和职责权限,特制定本管理制度。
一、总则
1.1用户帐号:
登录信息系统需要有用户帐号,相当于身份标识,用户帐号采用人员姓名的缩写或由公司信息中心统一分发,规则如下:
(1) 两个汉字的中文名称,采用拼音的全称。
(2) 三个汉字的中文名称:采用姓的全拼加上名字的首字母。
如果出现用户帐号重名的情况,出现的第一个重名的情况在用户帐号后面增加一个字母“1”;出现第二个重名的用户帐号,在重名的用户帐号后面增加一个字母“2”;如此类推。
1.2密码:
为保护信息安全而对用户帐号进行验证的唯一口令。
1.3权限:
指在信息系统中某一用户的访问级别和权利,包括所能够执行的操作及所能访问的数据。
二、 职责与分工
2.1职能班组:
(1) 权限所有班组:负责某一个模块的权限管理和该模块的数据安全;
a.营业班负责营销系统关于本所的系统权限;
b.维护班负责SF2008标准化作业系统及PMS 系统关于本所的系统权限;
c.所负责人管理OA 及其它系统的权限;
(2) 负责指定一个部门权限负责人,对涉及本部门负责权限的新增,变更,注销进行提交至公司信息中心操作。
;
(3) 本部门人员申请本部门负责权限,需要部门权限负责人签批,签批后由公司信息中心进行设置;。
账号和口令管理制度

账号和口令管理制度一、总则为了加强账号和口令管理,确保信息系统的安全和稳定运行,提高信息系统的安全性,维护信息系统中数据的保密性和完整性,根据《信息安全管理办法》等相关法律法规,制定本制度。
二、适用范围本制度适用于所有单位内部使用的信息系统,包括但不限于内部网络、电子邮件系统、ERP系统等。
三、定义1. 账号:指用于验证用户身份的唯一标识符,用于登录信息系统并获取相应的访问权限。
2. 口令:指用户验证身份的字符串,用于保证账号的安全性。
3. 超级用户:指具有对信息系统进行全部操作和管理权限的用户。
4. 普通用户:指除超级用户外的其他用户,具有部分访问和操作权限。
5. 访问控制:指对用户在信息系统中的访问行为进行管理和控制的机制。
四、账号管理1. 账号的设立和分配应当遵循“谁申请、谁审批、谁分配”的原则,确保账号的真实性和合法性。
2. 每个用户应当拥有唯一的账号,不得共享账号。
3. 账号的权属归属清晰明确,定期进行审核和调整,保持账号管理的规范性和有效性。
4. 超级用户的账号权限应当由信息系统管理员进行管控和审核,确保超级用户的权限合理合法。
5. 账号的注销应当及时进行,离职人员应当及时注销账号,避免账号被恶意使用。
五、口令管理1. 口令应当设置为复杂性较高的字符串,包括数字、大小写字母和特殊符号,长度不得低于8位。
2. 口令不得直接使用常见的字典词汇或个人信息,不得与账号或其他信息相关联。
3. 口令应当定期更换,最长不得超过60天,且不得与前几次设置的口令相同或过于相似。
4. 口令的存储应当采用加密的方式进行存储,不得明文传输或存储,以确保口令的安全性。
5. 口令的输入错误次数应当进行限制,达到一定次数后,系统自动锁定账号一段时间。
六、访问控制1. 用户的访问权限应当根据其工作职责和需要进行设置,审批和审核流程应当及时且完整。
2. 敏感信息的访问权限应当进行严格管控,只授权给有合法需求的用户。
3. 访问日志应当定期进行分析和检查,发现异常情况应当及时处理并报告。
平台账户管理制度

平台账户管理制度一、总则为规范平台账户管理,提高账户安全性,保障用户权益,特制定本制度。
二、账户申请与注销1. 用户注册时应提供真实有效的个人信息,并遵守平台规定的注册流程和要求。
2. 用户应妥善保管账户密码,不得将账户密码透露给他人,如因用户保管不慎导致账户密码泄露的,由用户自行承担责任。
3. 用户可通过平台提供的账户注销功能进行注销,同时可以向平台客服提出申请注销账户。
4. 平台有权对用户账户进行管理,包括但不限于对冻结、关闭、删除账户进行处理。
三、账户安全1. 用户应提供真实的个人信息,如有变更需及时更新。
2. 用户应使用强密码进行账户保护,并定期更改密码。
3. 用户应妥善保管账户密码,不得将密码透露给他人。
4. 用户应注意防范钓鱼网站、木马病毒、网络诈骗等网络安全问题。
5. 用户在使用公共网络时,应尽量避免在不安全的网络环境下操作账户。
四、账户权限管理1. 平台根据用户的实名认证情况,将用户划分为不同的账户权限等级。
2. 不同权限等级的用户在平台上的操作权限也不同,一般包括发布信息、查看信息、购买商品等。
3. 用户可以通过完善个人信息、上传资质证明等方式提升账户权限等级。
五、账户行为规范1. 用户在平台上发布信息、进行交易等行为需遵守平台规定,不得违反相关法律法规。
2. 用户不得利用账户进行传播色情、暴力、虚假信息等违规行为。
3. 用户不得利用账户从事非法活动,如洗钱、赌博等。
4. 用户不得利用账户进行恶意攻击、侵犯他人权益等损害平台安全和用户利益的行为。
六、账户监督与处罚1. 平台有权对用户账户进行监督,一旦发现用户有违规行为,将依据平台规定对其进行处罚,包括但不限于警告、封禁账户、追究法律责任等。
2. 用户可以向平台举报其他用户的违规行为,平台将依据实际情况进行核查并处理。
七、账户申诉1. 用户如果认为平台对账户的处理存在错误,可以向平台提出申诉。
2. 平台将根据实际情况主动核查账户的处理情况,如果发现错误将进行纠正。
单位用户账号管理制度

单位用户账号管理制度一、总则为加强单位用户账号管理,提高信息系统安全等级,保护单位信息资产安全,特制定本制度。
二、账号管理范围本制度适用于单位内所有用户账号的管理,包括但不限于员工、临时工、实习生等。
三、账号申请1. 用户账号申请应由主管部门负责人填写《单位用户账号申请表》,并经过信息化管理部门审核确认,方可发放账号。
2. 用户账号申请表中应明确提供申请者的基本信息,包括姓名、工号、部门、职务等。
3. 外单位人员账号申请需提供单位介绍信,并经过相应部门审核确认。
四、账号设置1. 账号应设置符合安全要求的初始密码,并规定密码复杂度要求,如包含大写字母、小写字母、数字和特殊符号。
2. 不同权限账号需要设定不同的权限级别,并动态调整。
3. 未绑定手机和邮箱的账号需要补充这些信息,用于密码找回和安全验证。
五、账号使用1. 用户应妥善保管自己的账号信息,不得转借、租借或出售账号。
2. 用户在使用账号时,应遵守国家相关法律法规,并维护单位信息系统的安全和稳定。
3. 用户应定期更改密码,并使用安全可靠的方式存储密码,不得直接将密码存储在明文文件或共享设备中。
4. 离开工作岗位时,用户应主动注销账号或锁定电脑,以保障账号不被他人滥用。
六、账号维护1. 信息化管理部门应定期对单位用户账号进行巡检和监控,及时发现异常情况并进行处理。
2. 用户不再履行工作职责或离职时,应及时通知信息化管理部门,停用或注销相关账号。
3. 账号长时间未使用或存在安全隐患的,信息化管理部门应及时对其进行整改或撤销。
4. 对于被冻结的账号,需保留相关日志及审计信息,确保账号操作的可追溯性。
七、账号风险和应急处理1. 当发现账号异常登录、权限被非法操作等风险情况时,应立即通知信息化管理部门,尽快处理。
2. 用户应配合信息化管理部门,提供相关日志和信息,协助解决账号风险事件。
3. 在账号遭到入侵或密码泄露时,用户应第一时间修改密码,并进行相关安全检查。
执行账户管理制度

执行账户管理制度一、总则为规范账户管理,提高账户安全性,加强对账户操作的监督和管理,制定本制度。
二、适用范围本制度适用于公司内所有员工的账户管理。
三、账户种类1.系统账户:具有特殊权限和功能的账户,由系统管理员负责管理。
2.普通账户:只能进行基本操作的账户,由员工自行管理。
四、账户设置及管理1.新员工入职后,由系统管理员为其开通账户,并分配初始密码。
2.员工在首次登录系统时,需修改初始密码,设置个人安全问题。
3.密码设置要求:至少8位字符,包含数字、字母、特殊符号等元素,且不得与账户名相同。
4.密码定期更换:员工需定期更换密码,且不得与之前使用过的密码相同。
5.员工不得将账户及密码泄露给他人,一旦发现账户异常情况,应及时报告系统管理员。
6.离职员工退出系统前,需通知系统管理员,由系统管理员禁用其账户。
五、账户操作规范1.员工在操作账户时,需按照规范流程进行,不得私自添加、修改、删除数据。
2.员工在操作账户时,需准确填写相关信息,不得虚构或篡改数据。
3.员工在操作账户时,需及时保存并备份重要数据,避免数据丢失。
4.员工在操作账户时,需保持账户及密码的安全性,不得轻易泄露给他人。
5.员工在操作账户时,需遵守公司相关规定,不得违反国家法律法规。
六、监督管理1.系统管理员定期对账户进行检查,确保账户操作符合规范。
2.系统管理员对账户异常情况进行及时处理,防止数据泄露或损坏。
3.员工发现账户异常情况时,应立即向系统管理员报告,配合解决问题。
4.公司领导对账户管理工作进行监督和考核,对合格者给予表扬奖励,对不合格者进行处理。
七、违规处理1.对于故意泄露账户及密码的员工,将给予警告、罚款、停职甚至解雇处理。
2.对于违规操作账户的员工,将根据情节轻重给予相应的处罚。
3.对于发现账户异常情况未及时报告的员工,将给予警告处分。
八、其他1.员工在账户管理过程中,如遇到问题可随时向系统管理员寻求帮助。
2.制度的修订和调整均需经过公司领导的同意和审批。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统用户及口令管理办法
第一章总则
第一条目的:为规避风险,杜绝安全隐患,进一步规范XX银行(以下简称“我行”)生产系统、测试环境和开发环境的用户及口令管理,特订定本办法。
第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。
第三条范围:本管理办法适用于我行及所辖分、支行。
第四条定义
(一)生产业务系统:指我行从事金融服务的应用网络系统,包括综合业务、外币业务、大小额支付、交换中心、银联前置等银行对外营业的各种核心业务系统。
(二)管理信息系统:指我行从事日常办公及信息管理的计算机网络系统,具体包括办公自动化系统、信贷管理、人力资源管理、风险管理平台等用来进行内部管理的应用软件系统。
(三)生产系统:包括生产业务系统和管理信息系统。
(四)开发环境:指我行所有进行开发的系统环境。
(五)测试环境:指我行所有进行测试的系统环境。
(六)系统管理员:我行科技信息部各系统硬件及软件的系统管理人员。
(七)数据库管理员:我行科技信息部各系统的数据库管理人员。
(八)应用系统管理员:我行科技信息部各系统的应用维护人员。
(九)测试人员:我行各测试系统的测试人员。
(十)开发人员:我行各应用系统的开发人员。
第五条遵循原则
(一)预防性原则:遵循以预防为主、防患于未然的原则,预防案件、事故的发生。
(二)可审计性原则:口令的过程必须保留痕迹,可被审计或追溯。
(三)有限授权原则:对任何人都不能授予过度的、不受监督和制约的权限。
(四)分离制约原则:每一次使用生产系统口令,都必须有两人同时参与,由双人分段管理口令。
(五)职责不相容原则:对不相容职责进行岗位分离。
(六)监督制约原则:针对口令的使用及记录,建立相应的监督检查机制。
第二章用户管理要求
第六条对于每个系统,应根据职责不相容原则,建立权责分离的业务矩阵表,定义系统不同用户组及其访问权限,包括终端用户、系统开发人员、系统管理员、应用系统管理员等用户组。
生产系统用户按照“知所必需”的存取控制原则,填写《用户权限申请表》,相关部门负责人审批通过后由系统管理人员操作。
第七条用户账号必须由运行维护中心负责人和系统管理员进行检查,确保用户不会被赋予互相冲突的权限。
以下职责互相不相容,且应由不同人员担任:
(一)系统开发
(二)测试
(三)系统运行维护管理
(四)系统安全检查
第八条对于每个生产系统,系统管理员、数据库管理员及应用系统管理员的授权必须由IT管理层审批,活动日志必须由信息定期审阅。
应用系统管理员根据业务部门要求,维护用户权限并定期生成系统用户权限清单,交相应业务部门负责人审批确认,对于发现的不恰当权限及时修正。
系统管理员维护操作系统的用户权限并定期生成用户权限清单,交部门负责人审批确定,对于发现的不恰当权限及时修正。
第九条禁止开发人员在正常情况下进入生产系统。
只有在得到管理层批准执行紧急修复任务时,开发人员才能在运行维护中心的监控下临时进入生产系统,所有的紧急修复活动都应立即进行记录和审核。
第三章口令管理要求
第十条按照信息系统对我行业务的敏感程度、重要程度,以及系统的授权访问用户的范围建议对信息系统进行分级归类,不同级别采取不同的账号、口令管理方式。
第十一条建议将我行信息系统在口令管理方式上分为三个级别:(一)A级系统,包括核心业务区域、前置区的主机系统。
口令管理方式建议采用口令信封双人分段或单人控制的方式。
(二)B级系统,包括各种外围业务系统(如网上银行、电话银行、外网网站、OA系统等),口令管理方式建议采用集中账号口令管理方式,并且采用双因素身份认证方式。
(三)C级系统,包括各部门内部使用的应用系统、开发系统或测试系统,口令管理方式建议各部门内各系统管理员通过系统内置的账号、口令管理机制进行管理。
第十二条生产系统口令分为超级用户口令、数据库用户口令、中间件用户口令、应用用户口令、查询用户口令。
除查询用户口令外,其他口令的口令长度至少为8个不含空格的字符,口令通常应由不代表任何含义的字母、数字和字符混合组成,口令不能和用户的姓名、生日、电话号码、车牌照、公司名称、日期、用户账号等信息相关联。
生产系统超级用户口令、数据库用户口令、中间件用户口令必须定期每90天强制性更改一次,应用用户口令每个月更改一次,若口令逾期而未更改,则该用户将被锁定,口令不能和前6次的口令相同,口令错误输入的次数应不得超过3次,否则用户账号将被锁定。
第十三条生产系统超级用户口令原则上由系统管理员使用和管理;数据库用户口令由数据库管理员使用和管理;中间件用户口令、应用用户口令及查询用户口令由应用系统管理员使用和管理。
第十四条每个生产系统建立两个同权限的超级用户,一个超级用户作为备份,特殊情况下使用,另一个作为日常维护使用。
备用超级用户的口令信封由总部科技信息部综合科保管。
第十五条生产系统口令(查询用户口令除外)进行分段双人管理,由使用管理人员及中心机房值班人员共同管理,进行密封,登记造册,列为机密。
口令信封由中心机房值班人员管理,值班人员对口令信封的安全负责。
第十六条业务人员不得向他人泄露自己的计算机口令或使用他人口令进入计算机系统。
在进行业务操作和查询时,对所获得的客户和公司资料承担保密责任。
第四章流程控制要求
第十七条使用生产系统口令必须填写《生产系统口令使用申请表》,登记内容包括口令使用种类、起止时间、使用原因、口令使用人签名等,经所属科室负责人、部门负责人签字同意后,方可使用生产系统口令。
第十八条口令信封开启时,使用人员和中心机房值班人员必须双人在场,同时对口令信封封口处的签字进行检查。
第十九条每次生产系统口令使用完毕后,使用人员和中心机房值班人员必须立即对口令进行更改;更改后,使用人员将口令进行密封并在封口处签字,交中心机房值班人员管理,同时办理变更登记手续,以备急需。
若不按规定办理,视为该口令仍在使用过程中,出现任何责任事故,由口令使用人负责。
第二十条在非上班时间或上班时间签字人员不齐(出差)的情况下,若需紧急使用口令,由口令使用人向部门负责人汇报,进行口头确认,经批示同意后,可使用口令,手续后补。
第二十一条口令信封保管人员调离工作岗位时,必须对生产系统口令进行及时更换。
第二十二条当发生人员岗位变动或离职,IT部门根据相关部门书面通知进行相应的系统权限及口令调整或回收。
第五章检查监督
第二十三条总部科技信息部安全管理员负责检查监督生产系统的口令管理,每月进行1次检查。
第六章附则
第二十四条本管理办法由科技信息部负责解释和修订。
第二十五条本管理办法自发布之日起施行。