用户帐户及口令管理办法

网络账号安全管理制度一、总则为了保障网络账号的安全，防止账号被恶意攻击、盗取或被滥用，提高网络信息安全防护能力，特制定本管理制度。

二、适用范围本管理制度适用于公司内所有员工、外包人员、顾问等使用或管理的所有网络账号。

三、网络账号安全管理责任1. 公司网络安全部门负责全公司网络安全的管理和维护工作。

2. 公司各部门负责其管辖范围内网络账号的安全管理。

3. 公司员工必须严格遵守网络账号安全管理制度的要求，认真保护自己的账号信息，并主动报告账号安全问题。

四、网络账号注册管理1. 员工使用公司邮箱或者专门指定的邮箱进行注册。

2. 员工应当使用真实身份信息进行注册，并仔细填写注册信息。

3. 注册时必须使用强密码，密码长度不少于8位，包含字母、数字和特殊字符。

4. 注册完成后，应立即修改初始密码，并不定期更换密码。

五、网络账号使用管理1. 员工应当保管好自己的账号信息，不得将账号密码告知他人。

2. 员工不得将自己的账号转让或者共享给其他人。

3. 员工应当定期检查账号的登录记录，及时发现异常情况并及时报告。

4. 员工不得使用他人账号进行操作，如有需求应当申请额外权限。

5. 员工应当在使用完毕后及时退出账号，不得长时间保持登录状态。

六、网络账号权限管理1. 员工应当根据自己的工作需要获得相应的权限，不得滥用权限。

2. 分配权限应当根据员工的工作职责和需要来合理设置。

3. 员工离职或调动时，应当及时收回其账号的相关权限。

七、账号安全事件处理1. 如发现账号被盗用、密码泄露等情况，员工应当第一时间向网络安全部门报告，并及时更改密码。

2. 网络安全部门应当立即对账号安全事件进行调查处理，并通知相关员工及时处理。

3. 对于频繁发生账号安全事件的员工，网络安全部门可以对其账号采取限制或者锁定等措施。

八、知识普及和培训1. 公司应当定期对员工进行网络安全知识培训，提高员工的安全意识。

2. 员工应当定期参加网络安全知识培训，不断提升自己的安全防护能力。

2023年账户管理制度2023年账户管理制度1第一章总则第一条为加强用户账号管理，规范用户账号的使用，提高信息系统使用安全性，特制定本制度。

第二条本制度中系统账号是指应用层面及系统层面（操作系统、数据库系统、信息管理系统、防火墙及其它网络设备）的用户账号。

第三条本规定所指账号管理包括：1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理3、用户账号密码的管理。

第四条系统拥有部门负责建立《岗位权限对照表》（附件一），制定工作岗位与系统权限的对应关系和互斥原则，对具体岗位做出具体的权限管理规定。

第五条信息管理中心根据系统拥有部门提交的《岗位权限对照表》增加系统岗位权限控制。

第六条用户账号申请、审批及设置由不同人员负责。

第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。

超级管理员、系统管理员与系统管理监督员不能由同一人担任，并不能是系统操作用户。

1、超级管理员：负责按照领导审定的《信息系统权限申请表》（附件二）进入系统管理员的授权管理。

2、系统管理员：负责按照领导审定的授权进行录入，并对系统运行状况以及系统用户数据录入进行管理。

系统管理员应对录入的授权和系统运行状态建立台帐，定期向系统管理监督备案。

3、系统管理监督员：负责对录入的数据和授权进行监督，并建立用户权限台帐，定期对系统管理员录入的授权和系统运行状态以及用户录入数据进行监督检查。

4、普通用户：负责对系统进行业务层面的操作。

第八条信息管理中心将定期抽取系统岗位和用户清单进行检查，发现可疑授权、可疑使用将根据实际情况予以通报修正，并将检查结果记入信息化年度考核中。

第二章普通账号管理第九条申请人使用统一规范的《信息系统权限申请表》（附件二）提出用户账号创建、修改、禁用、启用等申请。

第十条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致，确保权限分配的合理性、必要性和符合职责分工的要求。

口令管理制度范文第一章总则为规范口令管理，加强信息安全，保障企业和个人的利益，根据《中华人民共和国网络安全法》等相关法律法规和国家标准，制定本制度。

第二章适用范围本制度适用于本企业所有员工，以及与本企业合作的相关单位和个人。

第三章口令管理的基本原则1.口令的设置应当具有一定的复杂性，包括数字、字母、符号的组合，长度不少于8位。

2.口令应当定期更换，原则上每三个月更换一次。

3.口令应当采取加密存储，不得以明文形式存储在电脑或通信设备中。

4.口令不得外泄、共享，不得以任何形式写在电脑、纸质文件或其他地方。

5.口令丢失或泄露应当及时报告。

第四章口令的设置和管理1.口令的设置应当遵循以下原则：（1）不使用出现在字典中的单词；（2）不使用重复的数字、字母或符号；（3）不使用与个人信息相关的内容，如生日、家庭地址等；（4）应结合大小写字母、数字和符号组成。

2.口令的管理：（1）口令由系统管理员统一设置，并告知用户；（2）口令的更换由系统管理员统一组织，并告知用户；（3）口令忘记或泄露应当及时向系统管理员报告。

第五章口令的使用1.口令的使用：（1）口令需在登陆、操作或修改相关信息时使用；（2）口令不得用于访问未经授权的系统或信息；（3）不得以明文形式在网络上传输口令。

2.口令的保护：（1）不得将口令告知他人；（2）不得将口令以邮件、即时通讯等方式发送给他人；（3）不得在公共场所输入口令，尤其是ATM机、网吧等地方；（4）在使用他人设备时，不得保存或记录自己的口令。

3.口令的更改：（1）用户应按照规定定期更改口令；（2）用户应及时更改可能已泄露的口令。

第六章口令的泄露和丢失1.口令的泄露：（1）一旦发现口令泄露，应当立即修改；（2）及时向系统管理员报告，配合系统管理员进行相关调查。

2.口令的丢失：（1）口令丢失应当立即向系统管理员报告；（2）在确认口令丢失后，应及时更改。

第七章口令安全培训1.新员工入职时应进行口令安全培训；2.定期组织口令安全知识的宣传和培训；3.对发生口令泄露事件的员工进行口令安全培训。

惠州培训网
更多免费资料下载请进： 好好学习社区
系统权限授予及密码管理办法
信息系统作为资源管理系统，必须有其安全性和职责权限，特制定本管理制度。

一、总则
1.1用户帐号:
登录信息系统需要有用户帐号，相当于身份标识，用户帐号采用人员姓名的缩写或由公司信息中心统一分发，规则如下：
（1） 两个汉字的中文名称，采用拼音的全称。

（2） 三个汉字的中文名称：采用姓的全拼加上名字的首字母。

如果出现用户帐号重名的情况，出现的第一个重名的情况在用户帐号后面增加一个字母“1”；出现第二个重名的用户帐号，在重名的用户帐号后面增加一个字母“2”；如此类推。

1.2密码：
为保护信息安全而对用户帐号进行验证的唯一口令。

1.3权限：
指在信息系统中某一用户的访问级别和权利，包括所能够执行的操作及所能访问的数据。

二、 职责与分工
2.1职能班组：
(1) 权限所有班组：负责某一个模块的权限管理和该模块的数据安全；
a.营业班负责营销系统关于本所的系统权限；
b.维护班负责SF2008标准化作业系统及PMS 系统关于本所的系统权限；
c.所负责人管理OA 及其它系统的权限；
(2) 负责指定一个部门权限负责人，对涉及本部门负责权限的新增，变更，注销进行提交至公司信息中心操作。

；
(3) 本部门人员申请本部门负责权限，需要部门权限负责人签批，签批后由公司信息中心进行设置；。

账号和口令管理制度一、总则为了加强账号和口令管理，确保信息系统的安全和稳定运行，提高信息系统的安全性，维护信息系统中数据的保密性和完整性，根据《信息安全管理办法》等相关法律法规，制定本制度。

二、适用范围本制度适用于所有单位内部使用的信息系统，包括但不限于内部网络、电子邮件系统、ERP系统等。

三、定义1. 账号：指用于验证用户身份的唯一标识符，用于登录信息系统并获取相应的访问权限。

2. 口令：指用户验证身份的字符串，用于保证账号的安全性。

3. 超级用户：指具有对信息系统进行全部操作和管理权限的用户。

4. 普通用户：指除超级用户外的其他用户，具有部分访问和操作权限。

5. 访问控制：指对用户在信息系统中的访问行为进行管理和控制的机制。

四、账号管理1. 账号的设立和分配应当遵循“谁申请、谁审批、谁分配”的原则，确保账号的真实性和合法性。

2. 每个用户应当拥有唯一的账号，不得共享账号。

3. 账号的权属归属清晰明确，定期进行审核和调整，保持账号管理的规范性和有效性。

4. 超级用户的账号权限应当由信息系统管理员进行管控和审核，确保超级用户的权限合理合法。

5. 账号的注销应当及时进行，离职人员应当及时注销账号，避免账号被恶意使用。

五、口令管理1. 口令应当设置为复杂性较高的字符串，包括数字、大小写字母和特殊符号，长度不得低于8位。

2. 口令不得直接使用常见的字典词汇或个人信息，不得与账号或其他信息相关联。

3. 口令应当定期更换，最长不得超过60天，且不得与前几次设置的口令相同或过于相似。

4. 口令的存储应当采用加密的方式进行存储，不得明文传输或存储，以确保口令的安全性。

5. 口令的输入错误次数应当进行限制，达到一定次数后，系统自动锁定账号一段时间。

六、访问控制1. 用户的访问权限应当根据其工作职责和需要进行设置，审批和审核流程应当及时且完整。

2. 敏感信息的访问权限应当进行严格管控，只授权给有合法需求的用户。

3. 访问日志应当定期进行分析和检查，发现异常情况应当及时处理并报告。

平台账户管理制度一、总则为规范平台账户管理，提高账户安全性，保障用户权益，特制定本制度。

二、账户申请与注销1. 用户注册时应提供真实有效的个人信息，并遵守平台规定的注册流程和要求。

2. 用户应妥善保管账户密码，不得将账户密码透露给他人，如因用户保管不慎导致账户密码泄露的，由用户自行承担责任。

3. 用户可通过平台提供的账户注销功能进行注销，同时可以向平台客服提出申请注销账户。

4. 平台有权对用户账户进行管理，包括但不限于对冻结、关闭、删除账户进行处理。

三、账户安全1. 用户应提供真实的个人信息，如有变更需及时更新。

2. 用户应使用强密码进行账户保护，并定期更改密码。

3. 用户应妥善保管账户密码，不得将密码透露给他人。

4. 用户应注意防范钓鱼网站、木马病毒、网络诈骗等网络安全问题。

5. 用户在使用公共网络时，应尽量避免在不安全的网络环境下操作账户。

四、账户权限管理1. 平台根据用户的实名认证情况，将用户划分为不同的账户权限等级。

2. 不同权限等级的用户在平台上的操作权限也不同，一般包括发布信息、查看信息、购买商品等。

3. 用户可以通过完善个人信息、上传资质证明等方式提升账户权限等级。

五、账户行为规范1. 用户在平台上发布信息、进行交易等行为需遵守平台规定，不得违反相关法律法规。

2. 用户不得利用账户进行传播色情、暴力、虚假信息等违规行为。

3. 用户不得利用账户从事非法活动，如洗钱、赌博等。

4. 用户不得利用账户进行恶意攻击、侵犯他人权益等损害平台安全和用户利益的行为。

六、账户监督与处罚1. 平台有权对用户账户进行监督，一旦发现用户有违规行为，将依据平台规定对其进行处罚，包括但不限于警告、封禁账户、追究法律责任等。

2. 用户可以向平台举报其他用户的违规行为，平台将依据实际情况进行核查并处理。

七、账户申诉1. 用户如果认为平台对账户的处理存在错误，可以向平台提出申诉。

2. 平台将根据实际情况主动核查账户的处理情况，如果发现错误将进行纠正。

单位用户账号管理制度一、总则为加强单位用户账号管理，提高信息系统安全等级，保护单位信息资产安全，特制定本制度。

二、账号管理范围本制度适用于单位内所有用户账号的管理，包括但不限于员工、临时工、实习生等。

三、账号申请1. 用户账号申请应由主管部门负责人填写《单位用户账号申请表》，并经过信息化管理部门审核确认，方可发放账号。

2. 用户账号申请表中应明确提供申请者的基本信息，包括姓名、工号、部门、职务等。

3. 外单位人员账号申请需提供单位介绍信，并经过相应部门审核确认。

四、账号设置1. 账号应设置符合安全要求的初始密码，并规定密码复杂度要求，如包含大写字母、小写字母、数字和特殊符号。

2. 不同权限账号需要设定不同的权限级别，并动态调整。

3. 未绑定手机和邮箱的账号需要补充这些信息，用于密码找回和安全验证。

五、账号使用1. 用户应妥善保管自己的账号信息，不得转借、租借或出售账号。

2. 用户在使用账号时，应遵守国家相关法律法规，并维护单位信息系统的安全和稳定。

3. 用户应定期更改密码，并使用安全可靠的方式存储密码，不得直接将密码存储在明文文件或共享设备中。

4. 离开工作岗位时，用户应主动注销账号或锁定电脑，以保障账号不被他人滥用。

六、账号维护1. 信息化管理部门应定期对单位用户账号进行巡检和监控，及时发现异常情况并进行处理。

2. 用户不再履行工作职责或离职时，应及时通知信息化管理部门，停用或注销相关账号。

3. 账号长时间未使用或存在安全隐患的，信息化管理部门应及时对其进行整改或撤销。

4. 对于被冻结的账号，需保留相关日志及审计信息，确保账号操作的可追溯性。

七、账号风险和应急处理1. 当发现账号异常登录、权限被非法操作等风险情况时，应立即通知信息化管理部门，尽快处理。

2. 用户应配合信息化管理部门，提供相关日志和信息，协助解决账号风险事件。

3. 在账号遭到入侵或密码泄露时，用户应第一时间修改密码，并进行相关安全检查。

执行账户管理制度一、总则为规范账户管理，提高账户安全性，加强对账户操作的监督和管理，制定本制度。

二、适用范围本制度适用于公司内所有员工的账户管理。

三、账户种类1.系统账户：具有特殊权限和功能的账户，由系统管理员负责管理。

2.普通账户：只能进行基本操作的账户，由员工自行管理。

四、账户设置及管理1.新员工入职后，由系统管理员为其开通账户，并分配初始密码。

2.员工在首次登录系统时，需修改初始密码，设置个人安全问题。

3.密码设置要求：至少8位字符，包含数字、字母、特殊符号等元素，且不得与账户名相同。

4.密码定期更换：员工需定期更换密码，且不得与之前使用过的密码相同。

5.员工不得将账户及密码泄露给他人，一旦发现账户异常情况，应及时报告系统管理员。

6.离职员工退出系统前，需通知系统管理员，由系统管理员禁用其账户。

五、账户操作规范1.员工在操作账户时，需按照规范流程进行，不得私自添加、修改、删除数据。

2.员工在操作账户时，需准确填写相关信息，不得虚构或篡改数据。

3.员工在操作账户时，需及时保存并备份重要数据，避免数据丢失。

4.员工在操作账户时，需保持账户及密码的安全性，不得轻易泄露给他人。

5.员工在操作账户时，需遵守公司相关规定，不得违反国家法律法规。

六、监督管理1.系统管理员定期对账户进行检查，确保账户操作符合规范。

2.系统管理员对账户异常情况进行及时处理，防止数据泄露或损坏。

3.员工发现账户异常情况时，应立即向系统管理员报告，配合解决问题。

4.公司领导对账户管理工作进行监督和考核，对合格者给予表扬奖励，对不合格者进行处理。

七、违规处理1.对于故意泄露账户及密码的员工，将给予警告、罚款、停职甚至解雇处理。

2.对于违规操作账户的员工，将根据情节轻重给予相应的处罚。

3.对于发现账户异常情况未及时报告的员工，将给予警告处分。

八、其他1.员工在账户管理过程中，如遇到问题可随时向系统管理员寻求帮助。

2.制度的修订和调整均需经过公司领导的同意和审批。

公司宽带账号管理制度一、总则为了规范公司宽带账号管理，保障公司网络安全，提高工作效率，特制定本制度。

二、管理范围本制度适用于公司所有员工在使用公司提供的宽带网络时所使用的账号。

三、账号申请1.员工申请公司宽带账号需提供必要的个人身份信息，并经公司相关部门进行核实确认后方可开通账号。

2.员工应保证提供的信息真实有效，如有虚假情况，公司有权取消账号使用权限。

3.员工应妥善保管账号及密码，不得将账号及密码告知他人或泄露给他人。

4.员工应同意公司对账号进行定期检查，如发现异常情况，公司有权暂停或取消账号使用权限。

四、账号使用1.员工使用公司宽带账号应遵守国家相关法律法规及公司的相关规定，不得利用宽带账号从事违法活动。

2.员工不得私自更改账号权限、密码等设置，如有需要应提前向公司相关部门申请。

3.员工不得连接未经公司审核的外部网络设备，不得下载、安装未经审核的软件。

4.员工应正确使用宽带账号，不得进行大量下载、上传等占用网络资源的行为，保持网络畅通。

五、账号管理1.公司IT部门负责宽带账号的开通、修改、关闭等操作，员工需提出申请并经相关部门批准。

2.IT部门对员工宽带账号进行定期检查，确保账号使用安全和合规。

3.公司应建立账号使用日志，记录员工的网络活动，以便后期跟踪和监控。

4.员工离职或转岗时，应及时向公司提交账号注销申请，保障账号安全。

六、违规处理1.员工违反本制度规定的，公司有权对其进行警告、停用账号等处理，情节严重的，公司可按照相关规定予以解雇。

2.员工若故意泄露公司网络安全信息，公司将追究其法律责任。

七、附则1.本制度自发布之日起生效，如有修订需另行通知。

2.员工在使用公司宽带账号时，应遵守公司其他相关规定，如有冲突，以公司其他规定为准。

3.本制度最终解释权归公司所有。

公司宽带账号管理制度依据《公司员工手册》及相关法律法规编写，旨在维护公司网络安全、保障公司信息资产安全和员工合法权益。

公司将严格执行本制度，对违反规定的员工进行处理，确保公司网络稳定、安全运行。

账号、口令、权限管理办法目录1.目的 (3)2.范围 (3)3.账号和权限管理 (3)4.口令管理 (4)1.目的本规范规定了信息系统账号、口令、权限管理要求。

2.范围本规范适用于工程操作系统、数据库、网络设备和业务应用。

3.账号和权限管理员工录用时，人事部门或调入部门必须及时书面通知信息技术部门添加相关的帐号、口令及权限等。

员工在岗位变动时，人事部门或调入部门必须及时书面通知信息技术部门修改和删除相关的帐号、口令及权限等。

员工调离时必须由人事部门书面通知信息技术部门删除相关的帐号、口令及权限等。

操作人员访问权限的授予、变更和注销严格按照相关流程进行审批，经全部审批完毕后方给予相应权限。

将系统管理员权限和数据库管理员权限分开授予，禁止同一人掌管操作系统口令和数据库管理系统口令。

授予用户的身份应是唯一的，即一个用户账户唯一地对应一个用户，不允许多人共享一个账户。

系统管理员负责用户账号、权限和密码的集中管理，至少每半年审核一次。

各级信息技术部门系统管理员应该制定用户权限表，定期对用户的访问权限进行检查。

对任何用户的登录应进行身份鉴别。

身份鉴别的方法应根据用户所处环境的风险确定。

在新系统实施阶段，对于服务提供商需要访问系统，应当采取以下措施：(一)每个应用系统项目组将自己所需要的权限列表，交给信息技术处登记注册。

以后有变更的，及时通知信息技术处；(二)原则上不给服务提供商系统管理员的权限；(三)对于无法操作某些功能的情况下，经申请同意可以赋予服务提供商系统管理员的权限，一个项目小组只能有一个系统管理员的帐号，该用户不得将系统管理员的权限赋予他人；(四)实施结束后，系统管理员应当及时删除有关用户账号权限。

未经允许，系统管理员不得私自在系统内添加、删除用户，不得随意更改用户权限，防止非授权用户对数据的使用和修改等。

严格按岗位职责设置岗位操作权限，应定期检查操作员的权限，发现岗位操作权限不合理时应立即更正。

帐号口令管理实施细则（2009年）第一章总则第一条为规范通信网、业务网和各支撑系统帐号口令管理，保障系统安全运行，按照“谁主管，谁负责”、“谁使用、谁负责”、所有帐号均应落实责任人的原则，根据《帐号口令管理办法》的要求，特制定本实施细则。

第二条本实施细则适用于省公司及下属各分公司、直属单位。

适用在上述系统中拥有帐号进行系统维护和业务管理、非通信业务客户的所有人员，包括员工和第三方人员，以下简称“系统用户”。

第三条各分公司应按照本实施细则要求结合本分公司的具体情况，制定帐号口令管理的各项具体管理制度。

第二章职责与分工第四条工程建设部门作为处于工程期间、未交维系统的帐号管理主体，负责管理设备厂商、集成商等及施工人员在系统中的帐号。

第五条系统交维后，按照“谁主管，谁负责”原则，系统所属维护部门负责该系统的帐号管理。

由不同部门分别维护管理操作系统层和应用层的系统，各相关部门分别作为各层帐号的管理部门。

第六条系统维护部门主管领导负责系统帐号审批及授权管理，推动制定帐号审批流程、表格模版等并落实责任人，监督落实帐号申请表、用户帐号登记表的维护管理。

第七条系统维护部门主管领导负责建立系统帐号审批、创建及删除、权限管理以及口令管理要求执行情况审核机制，接受上级或者职能管理部门的定期审核。

同时，应根据本公司部门设置、分工及维护模式等具体情况，明确指定审核责任人。

第八条系统用户需按照帐号审批流程申请所需帐号、修改权限或者撤销帐号。

在帐号审批成功并创建后，应按照本办法第六章要求对帐号口令进行定期修改。

系统用户应严格保护帐号口令，不得故意泄露，否则需承担由此导致安全问题的责任。

第九条帐号口令管理的总体协调牵头部门为省公司网络与信息安全领导小组及其办公室。

第十条各分公司及各部门应制定相关职责分工，将帐号口令管理落实到人。

第三章用户管理第十一条系统用户应通过劳动合同等形式与省公司或相关市公司签订保密协议。

第十二条第三方公司人员为向提供系统维护、调测、技术支持服务，需要使用系统帐号时，第三方公司应首先与省公司或相关市公司签订保密协议。

用户账号管理制度一、总则为了规范用户账号管理，保障系统和数据安全，保护用户的合法权益，制定本制度。

二、适用范围本制度适用于所有涉及账号管理的部门和人员，包括但不限于系统管理员、用户管理员、普通用户等。

三、账号管理原则1.账号申请：所有账号均需通过正规的申请流程进行申请，并经过审批才能开通。

2.账号权限：账号的权限设置应符合用户的工作需要，不得超越其工作职责范围。

3.账号使用：用户应当妥善保管自己的账号和密码，不得将账号和密码泄露给他人，不得向其他用户出借使用。

4.账号监管：系统管理员和用户管理员应对账号进行有效的监控和管理，及时发现并处置异常或风险事件。

五、流程与责任1.账号申请流程普通用户如需申请开通相关账号，应填写相应的申请表或通过系统提交申请，同时提供需要开通账号的理由以及所需权限等信息。

系统管理员或用户管理员对申请进行评估审核，审批通过后方可开通账号。

2.账号权限设置系统管理员或用户管理员应根据用户的工作需要设置相应的权限，并定期对权限进行审核和调整。

3.账号使用监管系统管理员和用户管理员应对账号的使用情况进行监控，发现异常情况应及时跟进处置，同时保留必要的日志记录。

4.账号关闭流程当用户离职、调岗或不再需要相关账号时，应及时申请关闭账号，并进行相关的清理工作。

五、安全保障1.密码策略：用户的密码需符合一定的复杂度规则，不得设置过于简单的密码，且需要定期更换。

2.多因素认证：对于重要权限的账号，需要采用多因素认证方式进行登录，提高账号的安全性。

3.账号备份：系统管理员应定期对重要账号的数据进行备份，以防意外损失。

4.敏感操作监控：对具有重要权限的账号的操作记录进行监控，确保账号的正常使用和维护。

六、违规处理1.对于账号权限超越工作需要使用或者违规使用账号的行为，系统管理员或用户管理员有权采取相应的措施，包括但不限于警告、限制权限、暂停账号使用、关闭账号等。

2.对于账号密码泄露或被盗用的情况，用户应及时向系统管理员或用户管理员汇报，并及时更改密码，协助系统管理员或用户管理员进行处置。

xx公司账号、口令及权限管理办法修订记录总则第一条策略目标：为了加强公司信息安全保障能力，建立健全公司的安全管理体系，提高整体的信息安全水平，保证网络和业务系统的正常运营，提高网络服务质量，在公司安全体系框架下，本策略为加强公司员工对于系统账号、口令及权限的安全管理，规范公司的账号、口令及权限的使用，降低由于滥用、越权等威胁带来的风险。

适用范围第二条本办法适用于本公司，并在全公司范围内给予执行，由基础架构部对该项工作的落实和执行进行监督，并对本办法的有效性进行持续改进。

组织和职责第三条公司员工进行账号申请和审批应由员工所在部门负责管理，部门应根据公司要求和员工岗位创建、变更和撤销员工的账号及权限。

第四条公司信息安全工作组应负责登记、备案用户账号，并定期对用户账号和权限进行监督、检查。

第五条公司各系统负责部门应严格按照审批后的账号、权限维护和管理系统，按要求生成、变更和删除员工账号，并由部门信息安全工作组定期进行检查。

第六条公司基础架构部门负责对办公系统账号进行管理，例如VPN接入账号进行控制和管理。

账号管理第七条公司各系统应根据不同的角色确定用户账号，账号至少应当分为以下角色：（一）系统管理员：负责维护系统的管理员，一般应具有超级用户权限；（二）普通用户：访问系统的普通用户，一般只具有相应访问内容和操作的最小权限；（三）第三方人员：临时或长期进行系统维护的非公司内部人员，应当根据第三方人员的维护范围确定其使用权限；（四）安全审计人员：公司进行安全审计的人员，应能够查看系统的日志和审计信息。

第八条各系统的账号应能标识系统访问的不同角色，应尽量避免使用系统默认账号，账号的设定应易于审计。

第九条各系统管理员应当对系统中存在的账号进行定期审计，系统中不应存在无用或匿名账号。

第十条各部门信息安全组织和公司信息安全办公室应定期检查和审计，内容应包含如下几个方面：（一）员工实际已经离职，但仍在用户列表上；（二）员工虽然仍在移动工作，但不应该授予他使用某个业务系统的权利；（三）用户情况是否和安全部门备案的用户账号权限情况一致；（四）是否存在非法账号或者长期未使用账号；（五）是否存在弱口令账号。

权限密码管理制度
1. 总则
1.1. 为确保调度自动化系统安全运行，保障电力系统的安全稳定运行,特制订此管理制度。

2. 服务器密码及口令管理
2.1. 主站系统服务器、WBE服务器以及其余设备装置的口令和密码，由部门负责人和系统管理员商议确定，必须两人同时在场设定。

2.2. 调度自动化系统设备的密码须部门负责人在场时由系统管理员记录封存。

2.3. 密码及口令要定期更换（视网络具体情况），更换后系统管理员要销毁原记录，将新密码或口令记录封存（方式同2.2）
2.4. 如发现密码及口令有泄密迹象，系统管理员要立刻报告部门负责人，经批示后再更换密码和口令。

3. 用户密码及口令的管理
3.1. 对于要求设定密码和口令的用户，由用户方指定负责人与系统管理员商定密码及口令，由系统管理员登记并请用户负责人确认（签字或电话通知），之后系统管理员设定密码及口令，并保存用户档案。

3.2. 当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下，需向网络服务管
理部门提交申请单，由部门负责人或系统管理员核实后，履行本条1款所规定的手续，并对用户档案做更新记载。

3.3. 如果网络提供用户自我更新密码及口令的功能，用户应自己定期更换密码及口令，并设专人负责保密和维护工作。

4. 附则
4.1. 本管理办法由自发布之日起执行。

IT信息系统用户及口令管理办法第一章总则第一条目的：为规避风险，杜绝安全隐患，进一步规范公司生产系统、测试环境和开发环境的用户及口令管理，特订定本办法。

第二条依据：本管理办法根据《公司信息安全管理策略》制订。

第三条范围：本管理办法适用于公司。

第四条定义（一）生产业务系统：指公司从事金融服务的应用网络系统。

（二）管理信息系统：指公司从事日常办公及信息管理的计算机网络系统，具体包括办公自动化系统、信贷管理、人力资源管理、风险管理平台等用来进行内部管理的应用软件系统。

（三）生产系统：包括生产业务系统和管理信息系统。

（四）开发环境：指公司所有进行开发的系统环境。

（五）测试环境：指公司所有进行测试的系统环境。

（六）系统管理员：公司科技信息部各系统硬件及软件的系统管理人员。

（七）数据库管理员：公司科技信息部各系统的数据库管理人员。

（八）应用系统管理员：公司科技信息部各系统的应用维护人员。

（九）测试人员：公司各测试系统的测试人员。

（十）开发人员：公司各应用系统的开发人员。

第五条遵循原则（一）预防性原则：遵循以预防为主、防患于未然的原则，预防案件、事故的发生。

（二）可审计性原则：口令的过程必须保留痕迹，可被审计或追溯。

（三）有限授权原则：对任何人都不能授予过度的、不受监督和制约的权限。

（四）分离制约原则：每一次使用生产系统口令，都必须有两人同时参与，由双人分段管理口令。

（五）职责不相容原则：对不相容职责进行岗位分离。

（六）监督制约原则：针对口令的使用及记录，建立相应的监督检查机制。

第二章用户管理要求第六条对于每个系统，应根据职责不相容原则，建立权责分离的业务矩阵表，定义系统不同用户组及其访问权限，包括终端用户、系统开发人员、系统管理员、应用系统管理员等用户组。

生产系统用户按照“知所必需”的存取控制原则，填写《用户权限申请表》，相关部门负责人审批通过后由系统管理人员操作。

第七条用户账号必须由运行维护中心负责人和系统管理员进行检查，确保用户不会被赋予互相冲突的权限。

第一条信息系统用户和口令管理办法第二条固阳电力有限责任公司第三条固阳电力有限责任公司第四条信息系统用户和口令管理办法第一章总则第五条本标准规定了固阳电力各类信息系统用户帐号和口令的管理规定和方法。

第六条本标准仅适用于固阳电力网络业务系统的服务器和工作站、网络设备和应用。

第七条本标准适用于所有和上述系统相关的管理和维护人员、所有上述系统中存在的账号和口令。

第八条第二章职责定义第九条信息系统运行维护部门负责人负责执行由安全标准规定的管理职能，包括规定每个员工的角色和可以访问的信息资源、批准创建用户、撤销用户等。

第十条设立“用户账号集中管理系统管理组”，（以下简称“账号管理组”）管理用户集中管理系统，并执行具体的技术操作，如执行具体的创建用户、删除用户等操作。

第十一条第三章用户账号标准第十二条不允许共享账号和口令，除非由部门负责人授权，不允许将个人使用的口令告诉他人，即使部门负责人也不能要求员工告知个人用户名和口令。

第十三条设备的重要口令包括如路由器、交换机、接入服务器等的远程登录口令、特权模式口令，主机的root口令、数据库系统管理口令等。

都由唯一的人员掌握第十四条重要的系统口令应尽可能采用一次性口令或者双要素口令认证。

第十五条不允许匿名账号的存在；第十六条远程登录口令、特权模式口令必须强制每三个月更改一次。

第十七条网络主机设备的重要口令必须每三个月更改一次；普通口令由系统管理员督促，口令拥有者必须至少每六个月更改一次；作为登录全网网络设备和其它主机设备的设备，其重要口令、普通口令必须每一个月更改一次。

对于3个月没有使用的账号应进行评估是否删除。

第十八条对网管等主机设备重要口令必须每一年更改一次。

第十九条口令的更改必须指定两位专人负责，由这两人根据要求定期进行更改。

责任人必须保证口令更改的及时性、有效性，同时必须在“数据部设备重要口令更改记录表”中进行详细记录，并保证在网设备的口令与记录上的口令保持一致。

系统账号管理办法文档信息第一章总则第一条目的：为保障企业信息化系统的安全、稳定运行,切实防范和降低因非法或不适当的对系统或数据的访问而带来的风险，加强对系统访问和权限分配的管理，根据相关规章制度,特制订本管理办法。

第二条本管理办法适用范围：第三条系统范围：支撑和企业信息化各系统，包括BOSS系统、以及支撑以上各系统的网络平台系统；第四条人员范围：对上述系统进行使用和开发维护的人员,包括各系统的最终用户、系统账号权限管理人员、提供系统集成、开发、维护、和技术支持服务的非本公司人员（第三方人员）。

第二章相关定义第五条账号是指每个可访问系统资源的用户在系统中的标识,可分为应用系统账号、操作系统账号和数据库账号等。

应用系统账号是指在应用系统中建立的用户标识,用户可以通过应用系统提供的前台操作界面进行登录，并使用授权的业务功能和访问授权的业务数据；操作系统账号是指在主机系统中建立的用户标识,用户可以登录主机设备和发出操作指令；数据库账号是指在数据库系统中建立的用户标识，用户可以登录数据库系统并访问其中的数据。

第六条访问权限是指账号被赋予的可以访问系统资源和使用系统功能的权利。

第七条账号管理员是指负责在系统中执行账号管理操作的人员,例如在系统中创建或撤销账号,分配或修改账号权限,定期提供系统中的账号和权限清单供审阅等。

第八条账号审批人员是指有权对账号和权限的管理操作进行审批和决策的人员，包括各部门负责人,业务负责人、安全管理员或经部门领导授权的人员等。

第九条系统管理员是指负责对系统进行维护和管理的人员，例如操作系统管理员，数据库管理员,账号管理员等。

第十条归档人是指负责执行文档资料归档保存操作的人员。

第三章职责分工第十一条BOSS系统使用部门内部应用账号和权限的审批和相关管理操作由各部门负责。

信息化部负责管理本部门应用系统维护人员的账号和权限,并执行对各使用部门应用账号管理员的账号和权限进行管理的相关操作.各需求部门负责明确应用系统新增功能的开放范围。

账号⼝令管理办法账户⼝令管理办法⽬录第⼀章总则 (4)1.1概述 (4)1.2⽬标 (5)1.3范围 (5)1.4要求 (5)第⼆章帐号、⼝令和权限管理的级别 (7) 2.1关于级别 (7)2.2如何确定级别 (7)2.3⼝令、帐号和权限管理级别的定义 (7) 2.3.1等级1 –最低保障 (8)2.3.2等级2－低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最⾼保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2⼝令应该以⽤户⾓⾊定义 (11)3.2.1系统管理员/超级⽤户 (11)3.2.2普通帐号 (11)3.2.3第三⽅⽤户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级⼀需要遵守的规范 (13) 3.3.2保障等级⼆需要遵守的规范 (13) 3.3.3保障等级三需要遵守的规范 (13) 3.3.4保障等级四需要遵守的规范 (14) 3.4帐号管理流程 (14)3.4.1创建⽤户帐号 (14)3.4.2变更⽤户 (17)3.4.3撤销⽤户 (19)3.4.4定期复审 (20)第四章⼝令管理 (21)4.1通⽤策略 (21)4.2⼝令指南 (21)4.2.1⼝令⽣成指南 (21)4.2.2⼝令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据⼯作需要确定最⼩权限 (24)5.3建⽴基于⾓⾊的权限体系 (24)5.4审计⼈员权限的界定 (25)5.5第三⽅⼈员权限设定 (26)第⼀章总则1.1 概述随着XXXX公司业务系统的迅速发展，各种⽀撑系统和⽤户数量的不断增加，⽹络规模迅速扩⼤，信息安全问题愈见突出，现有的信息安全管理措施已不能满⾜xxx⽬前及未来业务发展的要求。

主要表现在以下⽅⾯：1.xxxx的信息系统中有⼤量的⽹络设备、主机系统和应⽤系统，分别属于不同的部门和不同的业务系统，并且由相应的系统管理员负责维护和管理。