信息系统帐号、口令管理办法v1.1

信息系统用户及口令管理办法第一章总则第一条目的：为规避风险，杜绝安全隐患，进一步规范XX银行（以下简称“我行”）生产系统、测试环境和开发环境的用户及口令管理，特订定本办法。

第二条依据：本管理办法根据《XX银行信息安全管理策略》制订。

第三条范围：本管理办法适用于我行及所辖分、支行。

第四条定义（一）生产业务系统：指我行从事金融服务的应用网络系统，包括综合业务、外币业务、大小额支付、交换中心、银联前置等银行对外营业的各种核心业务系统。

（二）管理信息系统：指我行从事日常办公及信息管理的计算机网络系统，具体包括办公自动化系统、信贷管理、人力资源管理、风险管理平台等用来进行内部管理的应用软件系统。

（三）生产系统：包括生产业务系统和管理信息系统。

（四）开发环境：指我行所有进行开发的系统环境。

（五）测试环境：指我行所有进行测试的系统环境。

（六）系统管理员：我行科技信息部各系统硬件及软件的系统管理人员。

（七）数据库管理员：我行科技信息部各系统的数据库管理人员。

（八）应用系统管理员：我行科技信息部各系统的应用维护人员。

（九）测试人员：我行各测试系统的测试人员。

（十）开发人员：我行各应用系统的开发人员。

第五条遵循原则（一）预防性原则：遵循以预防为主、防患于未然的原则，预防案件、事故的发生。

（二）可审计性原则：口令的过程必须保留痕迹，可被审计或追溯。

（三）有限授权原则：对任何人都不能授予过度的、不受监督和制约的权限。

（四）分离制约原则：每一次使用生产系统口令，都必须有两人同时参与，由双人分段管理口令。

（五）职责不相容原则：对不相容职责进行岗位分离。

（六）监督制约原则：针对口令的使用及记录，建立相应的监督检查机制。

第二章用户管理要求第六条对于每个系统，应根据职责不相容原则，建立权责分离的业务矩阵表，定义系统不同用户组及其访问权限，包括终端用户、系统开发人员、系统管理员、应用系统管理员等用户组。

生产系统用户按照“知所必需”的存取控制原则，填写《用户权限申请表》，相关部门负责人审批通过后由系统管理人员操作。

账号⼝令管理办法账户⼝令管理办法⽬录第⼀章总则 (4)1.1概述 (4)1.2⽬标 (5)1.3范围 (5)1.4要求 (5)第⼆章帐号、⼝令和权限管理的级别 (7) 2.1关于级别 (7)2.2如何确定级别 (7)2.3⼝令、帐号和权限管理级别的定义 (7) 2.3.1等级1 –最低保障 (8)2.3.2等级2－低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最⾼保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2⼝令应该以⽤户⾓⾊定义 (11)3.2.1系统管理员/超级⽤户 (11)3.2.2普通帐号 (11)3.2.3第三⽅⽤户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级⼀需要遵守的规范 (13) 3.3.2保障等级⼆需要遵守的规范 (13) 3.3.3保障等级三需要遵守的规范 (13) 3.3.4保障等级四需要遵守的规范 (14) 3.4帐号管理流程 (14)3.4.1创建⽤户帐号 (14)3.4.2变更⽤户 (17)3.4.3撤销⽤户 (19)3.4.4定期复审 (20)第四章⼝令管理 (21)4.1通⽤策略 (21)4.2⼝令指南 (21)4.2.1⼝令⽣成指南 (21)4.2.2⼝令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据⼯作需要确定最⼩权限 (24)5.3建⽴基于⾓⾊的权限体系 (24)5.4审计⼈员权限的界定 (25)5.5第三⽅⼈员权限设定 (26)第⼀章总则1.1 概述随着XXXX公司业务系统的迅速发展，各种⽀撑系统和⽤户数量的不断增加，⽹络规模迅速扩⼤，信息安全问题愈见突出，现有的信息安全管理措施已不能满⾜xxx⽬前及未来业务发展的要求。

主要表现在以下⽅⾯：1.xxxx的信息系统中有⼤量的⽹络设备、主机系统和应⽤系统，分别属于不同的部门和不同的业务系统，并且由相应的系统管理员负责维护和管理。

信息系统账号和权限管理办法第一章总则第一条为加强XXX有限公司（以下简称公司）信息系统（以下简称系统）用户账号和权限的规范化管理，确保系统有序、稳定运行，防范业务风险，特制定本管理办法。

第二条本办法适用于公司及所属企业。

第二章账号管理第三条管理部门信息化部是系统账号和权限管理的主责部门，主要工作职责包括：1.负责制定系统相关权限管理体系。

2.管理公司各部门及所属企业系统账号和权限，包括创建账号、修改账号、停用账号、角色分配、权限分配等。

3.负责审核各部门及所属企业提交的系统账号和权限申请事项。

第四条创建账号系统账号与公司办公系统账号及密码一一对应。

1.申请人没有办公系统账号，需要按公司或所属企业相关流程申请创建办公系统账号。

2.申请人已有办公系统账号，可使用办公系统账号和密码登录办公系统后，在工作台的应用入口中点击系统图标，即可直接登录到系统（未授权的账号无任何系统操作权限，需按本办法第五条申请授权）。

第五条系统账号权限说明系统账号权限分为三个大类，分别为数据角色权限、功能角色权限、审核角色权限。

创建系统账号时，需要为账号配置数据角色权限与功能角色权限；审核角色权限单独依据审批流创建。

以上三类系统账号权限会根据业务实际情况不定期进行更新和修改，实际权限以系统最新设置为准。

1.数据角色权限数据角色权限用于分隔业务数据，决定登录用户可查看与操作的数据范围，包括分隔业务机构、业务部门与业务板块等。

2.功能角色权限账号的功能角色权限决定登录用户可查看的具体菜单功能以及菜单功能中的操作按钮，按岗位分工进行功能角色创建。

3.审核角色权限审核角色权限单独依据审批流创建，根据工作分工为用户配置相应的审核角色权限后，该用户即可在对应审批节点收到待办提示，并有权进行相关操作。

第六条账号授权及变更1.账号授权及变更包括给账号增加权限、删除权限、修改用户信息等。

2.账号授权及变更统一通过办公系统进行申请。

申请人在办公系统流程管理中选择系统权限申请，在《系统权限申请审批单》（以下简称《审批单》，模板详见附件）中勾选和填写所需申请事项后，提交进行审批。

信息系统密码管理制度信息系统密码管理制度一、概述1·1 目的本制度旨在规范信息系统密码的管理，确保信息系统的安全性和可靠性，防止未经授权的访问，保护信息系统中存储的敏感信息。

1·2 适用范围本制度适用于所有使用和管理信息系统的人员，包括但不限于系统管理员、开发人员、用户等。

二、定义2·1 信息系统密码指用于验证用户身份并授予相应权限的一串字符或代码，用于访问信息系统或其相关应用和服务。

2·2 强密码指由大写字母、小写字母、数字和特殊字符组成的密码，长度为8位以上。

2·3 敏感信息指包括但不限于个人身份信息、财务信息、商业机密等对单位或个人具有重要价值的信息。

三、密码策略3·1 密码要求3·1·1 必须设置强密码，禁止使用弱密码，例如“123456”、“password”等。

3·1·2 密码长度不得少于8位。

3·1·3 密码必须定期更换，且禁止使用之前使用过的密码。

3·2 多因素认证对于特殊权限的账户或访问敏感信息的账户，必须启用多因素认证，增强身份验证的安全性。

3·3 密码存储与传输3·3·1 密码必须以加密方式存储，并且不得明文传输。

3·3·2 禁止使用非安全通道传输密码，如明文传输、明文电子邮件等。

四、密码使用和管理4·1 密码分配和重置4·1·1 新账户的初始密码应由系统管理员，并确保只有合法用户知晓。

4·1·2 忘记密码或遇到账户被盗用的情况，用户应向系统管理员申请密码重置，并经过额外的身份验证。

4·2 密码保护4·2·1 密码不得以明文形式写在纸上或在电子设备上存储。

4·2·2 禁止将密码泄露给他人或将密码共享给他人使用。

账号和口令管理制度一、总则为了加强账号和口令管理，确保信息系统的安全和稳定运行，提高信息系统的安全性，维护信息系统中数据的保密性和完整性，根据《信息安全管理办法》等相关法律法规，制定本制度。

二、适用范围本制度适用于所有单位内部使用的信息系统，包括但不限于内部网络、电子邮件系统、ERP系统等。

三、定义1. 账号：指用于验证用户身份的唯一标识符，用于登录信息系统并获取相应的访问权限。

2. 口令：指用户验证身份的字符串，用于保证账号的安全性。

3. 超级用户：指具有对信息系统进行全部操作和管理权限的用户。

4. 普通用户：指除超级用户外的其他用户，具有部分访问和操作权限。

5. 访问控制：指对用户在信息系统中的访问行为进行管理和控制的机制。

四、账号管理1. 账号的设立和分配应当遵循“谁申请、谁审批、谁分配”的原则，确保账号的真实性和合法性。

2. 每个用户应当拥有唯一的账号，不得共享账号。

3. 账号的权属归属清晰明确，定期进行审核和调整，保持账号管理的规范性和有效性。

4. 超级用户的账号权限应当由信息系统管理员进行管控和审核，确保超级用户的权限合理合法。

5. 账号的注销应当及时进行，离职人员应当及时注销账号，避免账号被恶意使用。

五、口令管理1. 口令应当设置为复杂性较高的字符串，包括数字、大小写字母和特殊符号，长度不得低于8位。

2. 口令不得直接使用常见的字典词汇或个人信息，不得与账号或其他信息相关联。

3. 口令应当定期更换，最长不得超过60天，且不得与前几次设置的口令相同或过于相似。

4. 口令的存储应当采用加密的方式进行存储，不得明文传输或存储，以确保口令的安全性。

5. 口令的输入错误次数应当进行限制，达到一定次数后，系统自动锁定账号一段时间。

六、访问控制1. 用户的访问权限应当根据其工作职责和需要进行设置，审批和审核流程应当及时且完整。

2. 敏感信息的访问权限应当进行严格管控，只授权给有合法需求的用户。

3. 访问日志应当定期进行分析和检查，发现异常情况应当及时处理并报告。

信息系统帐号管理制度信息系统帐号管理制度1. 引言1.1 本制度的目的和背景本制度旨在规范和管理公司信息系统中的帐号，并确保帐号的安全和正确使用。

同时，本制度也将帮助提高信息系统的运作效率，保护公司的核心数据和业务信息的安全。

1.2 适用范围本制度适用于公司内部所有的信息系统帐号，包括内部员工、合作伙伴和外部供应商等。

2. 定义和缩略语2.1 定义2.1.1 信息系统帐号：指用于登录和访问公司信息系统的唯一标识。

2.1.2 帐号权限：指帐号拥有的访问和操作信息系统的权限。

2.1.3 帐号管理：指对帐号的创建、修改、删除等操作的管理。

2.2 缩略语2.2.1 IT：信息技术2.2.2 HR：人力资源2.2.3 ACL：访问控制列表3. 帐号管理流程3.1 帐号申请3.1.1 内部员工申请帐号3.1.1.1 员工向IT部门提出帐号申请3.1.1.2 IT部门审核申请并创建帐号3.1.1.3 IT部门将帐号信息通知员工3.1.2 合作伙伴/供应商申请帐号3.1.2.1 合作伙伴/供应商向HR部门提出帐号申请3.1.2.2 HR部门审核申请并创建帐号3.1.2.3 HR部门将帐号信息通知合作伙伴/供应商3.2 帐号权限管理3.2.1 IT部门负责定义帐号权限的访问范围3.2.2 IT部门定期审查和更新帐号权限3.2.3 员工离职或职位变动时，需要及时调整帐号权限3.3 帐号使用和操作监控3.3.1 所有帐号持有人须保管好自己的帐号信息，不得泄露给他人3.3.2 所有帐号的登录和操作行为将被记录和监控3.3.3 发现异常登录或操作行为的帐号将被暂时禁用，并进行调查4. 帐号安全措施4.1 密码安全4.1.1 密码长度和复杂度要求4.1.2 密码定期更换要求4.1.3 密码不得与帐号相关信息相同4.2 多因素认证4.2.1 高风险权限的帐号需开启多因素认证4.2.2 外部供应商访问权限需开启多因素认证4.3 帐号锁定和解锁机制4.3.1 帐号登录失败次数达到一定限制后将会被锁定4.3.2 帐号锁定后需要联系IT部门进行解锁5. 帐号退出和注销5.1 员工离职5.1.1 HR部门收到员工离职申请后，通知IT部门进行帐号注销5.1.2 IT部门注销员工帐号并通知相关部门5.1.3 IT部门归档帐号信息和操作日志5.2 合作伙伴/供应商终止合作关系5.2.1 HR部门收到合作伙伴/供应商终止合作申请后，通知IT部门进行帐号注销5.2.2 IT部门注销合作伙伴/供应商帐号并通知相关部门5.2.3 IT部门归档帐号信息和操作日志6. 法律名词及注释6.1 信息系统安全法：我国制定的保护信息系统安全的法律法规。

信息系统用户账号密码管理制度第一章总则第一条目的为加强（以下简称“高速公路”）信息系统用户账号管理，规范用户账号的申请、使用和管理，提高用户账号的安全性，确保信息系统安全、有序、稳定的运行，特制定本制度。

第二条适用范围本制度中系统账号是指具有管理网络设备、安全设备、操作系统、数据库管理系统和应用系统的用户账号。

第三条职责根据中心信息系统各相关业务的信息管理工作要求，管理用户主要由收费部相关人员担任，职责规定如下：负责网络设备、安全设备、主机系统（操作系统和数据库管理系统）和应用系统用户账号的管理工作；负责上述账号申请和审批管理、安全管理和安全检查管理工作；负责上述账号用户行为安全审计工作。

拥有用户账号的最高权限，负责信息系统运行维护的具体操作工作；负责落实具体账号的生成、变更和删除/禁用操作事项。

第四条应严格按照审批后的账号、权限维护和管理系统，按要求生成、变更和删除员工账号，并由收费部定期进行检查。

第二章账号与密码管理第五条用户角色分类根据各信息系统不同运维人员承担的角色不同，用户账号分为以下角色：系统管理员：由收费部的人员担任，具有管理系统所有权限；根据各人员负责范围的不同，分为网络管理员、安全管理员、主机管理员和应用管理员等，详见《系统管理员用户角色分配表》；临时管理账号：是指外部系统维护人员必须登录信息系统进行维护所需要的管理账号，根据维护需要赋予所需最小权限；安全审计管理员：由收费部系统安全负责人担任，具有能够查看系统的日志和审计信息。

第六条用户账号安全1.用户账号标识应具有不易被冒用的特点，用户账号长度一般采用不少于6位的字符或字符加数字组合，禁止直接采用名字拼音、语言单词或同一字符等容易被冒用的用户账号；2.根据系统运行维护服务单位需要，为系统运行维护单位分配用户账号，禁止不同运行维护单位相互间共享账号；3.根据管理用户的运维角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；4.原则上，操作系统和数据库系统特权用户账号应由不同自然人担任，如只部署操作系统的情况除外；5.严格限制默认账号的访问权限，禁止或重命名系统默认账号，如因实际需要，不能禁用或重命名的默认口令，应设置16位以上的字符、数字和特殊符号组合的强密；6.外部系统维护人员采用临时账号登录管理时，必须有系统管理员全程监控。

信息系统账号口令管理制度
1为了加强公司网络与信息系统安全，任何公用计算机、网络设备和信息系统
必须设置符合本制度的账号和口令（或密码）。

2对于公用PC机、笔记本电脑，由使用者按照本规定自行设置和管理该设备
的账号和口令（或密码）。

3对于网络设备、服务器和信息系统的管理账号和口令应当由安全专责分配和
管理，安全专责应对分配出去的账号和口令以及变更情况进行加密登记并妥善保存，获得账号和口令的工作人员不得散发和与他人共享。

4对于网络或应用系统用户的个人账号和口令，网络或系统管理员必须按照本
制度要求设置初始口令（或密码），用户必须在开始使用时更改口令（或密码）并妥善保管，不得散发和与他人共享。

5口令字符必须由数字加字母或符号组成。

用户及管理员的口令（或密码）长
度不得少于八个字符，机密级信息的口令（或密码）长度不得少于十个字符。

6口令（或密码）更换周期不得长于一个月；机密级信息的口令（或密码）更
换周期不得长于一周；绝密级信息不得上网。

7口令（或密码）必须加密存储，口令（或密码）存储设备必须与网络物理隔离，确保口令存放载体的物理安全。

8 PKI验证系统必须严格按照保密级系统进行管理。

9本规定由XX公司信息通信分公司生技部负责解释。

10本规定自颁布之日起实行，有新的修改版本颁布后，本规定自行终止。

帐号口令及权限管理制度1.引言帐号口令及权限管理制度是一项重要的安全管理措施，旨在保护企业和个人的信息安全。

本制度的目的是确保只有授权人员才能访问和操作相关系统和数据，并采取适当的措施防止未经授权的访问和滥用行为。

以下是本制度的详细内容。

2.帐号创建与维护2.1帐号创建2.1.1所有帐号的创建必须由授权的管理员进行，并按照相关的注册程序和流程。

2.1.2每位用户只能拥有一个帐号。

2.1.3在申请帐号时，用户必须提供真实、准确的个人信息，并承诺遵守相关的安全规定。

2.2帐号维护2.2.1所有帐号必须定期进行管理和维护，包括删除未使用或已经过期的帐号。

2.2.2忘记密码或需要重置密码的用户必须按照规定的流程进行密码重置，不得向任何人泄露密码。

3.口令安全与管理3.1口令设置3.1.1所有帐号必须设置强密码，密码长度不得少于8位，包括大小写字母、数字和特殊字符。

3.1.2口令应定期更换，推荐每3个月更换一次。

3.1.3不得使用容易猜测的密码，如生日、手机号等个人信息。

3.2口令保密3.2.1口令是用户访问和操作系统的凭证，用户必须将口令妥善保管，不得向他人泄露。

3.2.2在公共场所或他人办公区域时，用户必须确保隐藏或者锁定屏幕，防止他人窥视。

3.3口令修改与重置3.3.1在发现口令泄露的情况下，用户必须立即向管理员报告，并按规定的流程进行密码重置。

3.3.2口令重置的申请必须经过管理员审核和验证，用户需提供必要的身份信息。

4.权限管理与控制4.1权限授予4.1.1权限授予必须按照岗位职责和业务需求进行，仅限于用户需要进行正常工作所必须的权限。

4.1.2权限授予必须经过授权管理员的审批和记录，并定期进行复核。

4.2权限验证与审计4.2.1系统必须实现权限验证机制，确保只有拥有合法权限的用户才能访问和操作系统和数据。

4.2.2进行权限审计，定期检查和验证用户的权限使用情况，防止权限滥用和非法操作。

4.3帐号注销4.3.1当用户离开公司或者岗位变动时，管理员必须及时注销相关的帐号，防止未经授权的访问和滥用。

信息系统口令使用管理制度第一章总则第一条为规范XXX中心（以下简称”中心”）信息系统账号口令管理，保障信息系统安全运行，特制订此制度。

第二条本制度适用于XXXX。

第二章密码使用管理第三条系统运维人员应了解进行有效访问控制的责任，特别是密码使用安全的责任。

第四条运维人员应该保证密码安全，不得向其他人泄露密码，对于因泄露密码而造成的信息系统的损失，由运维人员本人负责。

第五条应避免在纸上记录密码，或避免将密码以明文方式记录计算机内，若记录在计算机内需加密保存文件。

第六条不要在任何自动登陆程序中使用密码。

第七条用户忘记密码时，必须在对该用户进行适当的身份识别后才能将其密码恢复至默认，并通知用户及时修改默认密码。

第八条常规情况下，用户至少应每隔90天更改一次密码，避免再次使用旧密码或循环使用旧密码。

第九条允许用户选择和变更他们自己的密码，并且包括确认程序，以便考虑到输入出错的情况。

第十条密码录入时，在屏幕上应不显示明文。

第三章密码使用要求第十一条密码应由不少于8位的大小写字母、数字以及特殊符号等字符组成。

第十二条密码应在90天内至少更换一次。

第十三条密码重复尝试3次以后应暂停该账号登录。

第十四条各级密码保管落实到人，密码所有人必须妥善保存，各级密码不得以任何明文形式存放于可公共访问的设备中。

第十五条采取有效措施，保证用户密码在传输和存储时的安全，例如对密码进行加密传输和保存。

第十六条及时更改系统或者应用的默认厂商口令。

第十七条当出现以下情况时，必须立即更改密码并做好相关记录。

（一）掌握密码的网络管理人员离开岗位；（二）因工作需要，由相关厂家或第三方公司人员使用过的账号及密码；（三）其他密码可能被泄露的情况。

第十八条当发生以下情况时，系统管理员应立即取消账号或修改账号的相应权限，并做好相关记录：（一）账号使用者已经离职；（二）账号使用者由于工作的变动不再需要访问权限（三）由于工作需要开通的临时账号已过期（四）账号使用者违背了有关密码管理规定（五）发生其他使上级主管人员认为不应再具有访问权限的；第十九条系统管理人员修改账号密码时，应提前（或同时）通知账号使用人，以免影响其正常使用。

信息系统密码管理规定一、总则为加强信息系统的安全管理，保障信息系统的稳定运行和数据安全，特制定本信息系统密码管理规定。

本规定适用于公司所有信息系统及相关设备的密码管理。

二、密码设置要求1、复杂性密码应包含字母（大小写）、数字和特殊字符，避免使用常见的单词、生日、电话号码等容易被猜测的组合。

2、长度密码长度应不少于 8 位。

3、定期更改密码应定期更改，更改周期不得超过 90 天。

4、避免重复不得使用最近 5 次使用过的密码。

三、密码生成与分配1、用户自主生成用户在首次使用信息系统时，应按照密码设置要求自主生成密码。

2、系统管理员分配在特殊情况下，如用户遗忘密码或系统故障，系统管理员可临时为用户分配密码，但应要求用户在首次登录后立即更改。

四、密码存储1、加密存储所有密码在信息系统中应采用加密方式存储，确保密码的安全性。

2、安全的存储介质加密后的密码应存储在安全的数据库或文件中，只有经过授权的人员能够访问。

五、密码使用1、保密原则用户应严格遵守保密原则，不得将密码告知他人，包括同事、上级领导等。

2、避免共享账号禁止多个用户共享一个账号和密码，每个用户应拥有独立的账号和密码。

3、登录验证在登录信息系统时，应输入正确的用户名和密码，系统应进行严格的验证。

4、临时离开用户在使用信息系统过程中，如临时离开工作岗位，应锁定计算机或关闭相关应用程序，防止他人未经授权使用。

六、密码找回与重置1、身份验证用户忘记密码需要找回或重置时，应通过预先设定的身份验证方式进行验证，如回答安全问题、提供注册时的邮箱或手机号码等。

2、审批流程对于重要信息系统的密码重置，可能需要经过上级领导或相关部门的审批。

七、管理员职责1、监督管理系统管理员应定期检查密码的使用情况，确保用户遵守密码管理规定。

2、安全审计对密码相关的操作进行安全审计，记录密码的生成、更改、找回等操作日志。

3、应急处理在发生密码安全事件时，系统管理员应及时采取应急措施，如暂时锁定账号、更改密码等，并向上级报告。

帐号、口令及权限管理规定第一章总则第一条为规范用户账号和口令管理，建立健全账号和口令安全防范和安全保障机制，确保信息系统的安全有效运行，制订本规定。

第二条本管理规范适用于单位机房硬件平台、应用系统的账号的建立、以及权限的审批、账号和权限的评审、权限撤销和账号移除等。

第二章定义第三条用户账号是计算机信息系统通过一定的身份验证机制识别各类操作人员在系统中身份的一种标识。

第四条特权账号是指对系统/网络/数据库等拥有超级权限的人员账号，包含但不限于系统管理员、网络管理员、数据库服务器管理员及数据库管理员等。

第五条权限是指系统对用户能够执行的功能操作所设立的额外限制，用于进一步约束用户能操作的系统功能和内容访问范围，是指某个特定的用户具有特定的系统资源使用的权力。

第三章账号权限申请第六条所有用户账号的开通应通过正式的账号申请审批过程，账号使用者提出并填写《办公网数字身份证书申请表》，根据《访问控制安全管理规范》中的访问控制方针进行审批。

第七条在对系统账号进行申请的过程中，应做到系统账号与责任人一一对应，确保每个账号都有人负责。

第八条系统运行维护管理人员在开通账号前，应依据《办公网数字身份证书申请表》内容检查申请人是否在该系统中拥有其它账号，若没有，方可为用户创建账号并分配相应的权限。

原则上每个用户只能拥有唯一的账号，不得重复申请账号。

第九条系统运行维护管理员应当保存用户账号分配申请记录。

第四章账号使用规则第十条用户在获得账号后，应当立即修改账号默认口令。

第十一条用户账号口令的选择和使用应当与口令保护策略相符合。

第十二条用户账号是用户的唯一标识，只能由本人使用，不得交由他人使用。

第十三条不得多人共用一个账号（特殊系统账号除外）。

第十四条服务器本地管理员账号由系统管理员保管，禁用匿名账号（Guest 账号）。

第五章账号权限变更第十五条在应用系统账号使用过程中，如果账号权限发生变化，应进行重新申请并填写《办公网数字身份证书撤销/停用、恢复、更新申请表》。

账号、口令、权限管理办法目录1.目的 (3)2.范围 (3)3.账号和权限管理 (3)4.口令管理 (4)1.目的本规范规定了信息系统账号、口令、权限管理要求。

2.范围本规范适用于工程操作系统、数据库、网络设备和业务应用。

3.账号和权限管理员工录用时，人事部门或调入部门必须及时书面通知信息技术部门添加相关的帐号、口令及权限等。

员工在岗位变动时，人事部门或调入部门必须及时书面通知信息技术部门修改和删除相关的帐号、口令及权限等。

员工调离时必须由人事部门书面通知信息技术部门删除相关的帐号、口令及权限等。

操作人员访问权限的授予、变更和注销严格按照相关流程进行审批，经全部审批完毕后方给予相应权限。

将系统管理员权限和数据库管理员权限分开授予，禁止同一人掌管操作系统口令和数据库管理系统口令。

授予用户的身份应是唯一的，即一个用户账户唯一地对应一个用户，不允许多人共享一个账户。

系统管理员负责用户账号、权限和密码的集中管理，至少每半年审核一次。

各级信息技术部门系统管理员应该制定用户权限表，定期对用户的访问权限进行检查。

对任何用户的登录应进行身份鉴别。

身份鉴别的方法应根据用户所处环境的风险确定。

在新系统实施阶段，对于服务提供商需要访问系统，应当采取以下措施：(一)每个应用系统项目组将自己所需要的权限列表，交给信息技术处登记注册。

以后有变更的，及时通知信息技术处；(二)原则上不给服务提供商系统管理员的权限；(三)对于无法操作某些功能的情况下，经申请同意可以赋予服务提供商系统管理员的权限，一个项目小组只能有一个系统管理员的帐号，该用户不得将系统管理员的权限赋予他人；(四)实施结束后，系统管理员应当及时删除有关用户账号权限。

未经允许，系统管理员不得私自在系统内添加、删除用户，不得随意更改用户权限，防止非授权用户对数据的使用和修改等。

严格按岗位职责设置岗位操作权限，应定期检查操作员的权限，发现岗位操作权限不合理时应立即更正。

第一章总则第一条为确保公司信息系统的安全稳定运行，保护公司信息和用户隐私不被非法获取和利用，根据国家有关法律法规和公司实际情况，制定本制度。

第二条本制度适用于公司所有员工、临时工、实习生以及与公司签订保密协议的外部人员。

第三条账号口令安全管理制度遵循以下原则：1. 安全第一，预防为主；2. 规范管理，责任到人；3. 便捷高效，持续改进。

第二章账号管理第四条账号注册1. 员工入职时，由人事部门统一办理账号注册手续，并为员工分配初始口令。

2. 外部人员参与公司项目时，由项目负责部门为其申请账号，并签订保密协议。

第五条账号变更1. 员工个人信息变更时，应及时更新账号信息，确保账号与个人信息的一致性。

2. 账号口令发生泄露或被非法获取时，员工应及时报告给信息技术部门，由信息技术部门负责修改口令。

第六条账号注销1. 员工离职或调离原岗位时，人事部门应及时通知信息技术部门注销其账号。

2. 外部人员项目结束后，项目负责部门应及时通知信息技术部门注销其账号。

第三章口令管理第七条口令设置1. 口令长度不得少于8位，建议使用大小写字母、数字和特殊字符的组合。

2. 口令不得使用生日、电话号码、姓名等易被他人猜测的信息。

3. 禁止使用通用口令，如“123456”、“password”等。

第八条口令修改1. 员工应定期修改口令，建议每3个月更换一次。

2. 口令修改后，不得将新口令与旧口令相同或相似。

3. 口令修改时，应确保在安全的环境下进行。

第九条口令泄露1. 员工发现口令泄露时，应及时报告给信息技术部门，并采取以下措施：（1）修改口令；（2）更改登录密码；（3）通知相关部门加强账号安全监控。

第四章监督与责任第十条信息技术部门负责账号口令安全管理的实施和监督，定期开展安全检查。

第十一条各部门负责人对本部门账号口令安全负责，确保本部门账号口令符合本制度要求。

第十二条违反本制度的行为，将根据情节轻重给予警告、记过、降职、辞退等处理；构成犯罪的，依法追究刑事责任。

口令、账户管理制度一、信息系统管理员和网络安全管理员职责信息系统管理员和网络安全管理员负责统一管理信息系统用户、口令、权限。

严格管理用户分配，按照最小安全访问原则，为各类用户分配相关权限。

及时根据业务需要对信息系统中用户及权限进行调整。

登记和记录信息系统中各类用户、权限情况，并进行日常检查，及时补救存在的隐患。

定期更改所管理用户的口令，督促其他用户更新口令。

在得到信息部主任同意后，对信息系统中各类超级权限用户的口令进行修改，并整理交报信息部主任。

及时清理各系统中停止使用的帐户及权限。

二、口令设置要求操作系统用户、数据库系统用户、网络设备、应用程序用户必须设置口令。

主要业务服务器操作系统管理员、主要网络设备用户、数据库管理员、交易系统超级用户口令长度应在8位以上，应用系统用户口令长度应大于6位，系统有特殊规定的除外。

各用户口令的设置不可相同，应尽量不易记忆，并同时包含字母、数字、以及其它字符，不能使用字母、字符的口令除外。

不得使用用户名和部分用户名作为口令，不得以生日、电话等作为口令，系统有特殊规定的除外。

三、用户、口令、权限的管理各系统中不得保留系统中匿名访问用户。

如需建立其他用户，应由使用者向信息部主任提出申请，经批准后系统管理员给予设置。

管理员应保守机密，不得将用户口令透露给他人。

核心操作系统、数据库管理员及应用系统超级用户口令每半年必须更新；其它系统口令应至少每三个月更新一次。

管理员应提醒应用系统操作人员保存好自己的口令，并按口令设置要求经常修改。

建立与应用系统超级用户权限相仿的用户进行日常维护工作，应减少超级用户的使用。

在管理员离职时，应将其管理的用户、口令交给其下任管理员，并有义务保证交接时系统的正常运行。

新任管理员应及时更改口令。

系统操作人员离职时，系统管理员应及时将其使用的用户注销，并修改相应记录。

所有口令修改应进行登记，由操作人、复核人签字确认，相关纸制表格密封后保存。

对于个别系统无法更换某些用户的密码，或更换密码后会对应用造成较大的影响，这些用户的密码可以不进行更换，但必须加强管理，专人保管不得泄露。

公司信息系统用户账号与口令管理制度第一章总则第一条为确保集团暨股份公司信息系统及网络的安全平稳运行，保障数据信息安全，特制订本管理制度。

第二条本制度参照《中华人民共和国计算机信息网络国际联网安全保护管理制度》、《互联网信息服务管理规定》、《xx集团暨股份公司信息系统安全管理制度（试行）》为依据制定。

第三条本制度为公司制度体系的第一层级，属于基本管理制度。

适用于公司及子公司、分公司和项目经理部。

第四条本管理制度所称的账号、口令，是指登陆信息系统、网络设备等各类计算机软件、硬件系统的用户名和口令。

第五条任何单位和个人必须提高安全认识，账号和口令由用户自行保留，不得泄漏或转借他人使用，不得借用他人账号；不得利用账号、口令从事危害信息系统软、硬件的行为。

第六条各类账号的口令设置使用应满足如下规则：1、口令应超过8个字符；2、口令应由字母和数字组成，重要账号不应仅由字母或者数字组成；3、避免使用姓名、生日以及其他常用的口令；第七条对网络管理员、系统管理员和系统操作员等重要岗位，所用口令须主管负责人在场时由系统管理员记录封存。

第八条口令及密码要定期更换（视信息系统具体情况而定），口令更换周期不得长于三十日，更换后系统管理员要销毁原记录，将新口令或密码记录封存。

第九条如发现口令及密码有泄密现象，系统管理员应立刻报告部门负责人，同时要保护好现场并记录，在接到主管领导批示后再更换口令和密码。

第十条任何人不得利用各种软件技术或网络设备从事用户账户及口令的侦听、盗用行为，该行为被认为是对网络用户权益的侵犯。

第十一条系统管理员、网络管理员、系统操作员等重要岗位调离后一小时内由部门负责人监督检查更换新的口令；第二章安全保密责任第十二条登陆重要信息系统、数据库系统、网络设备的账号、口令由信息安全管理领导小组办公室负责指派管理。

第十三条应用软件的账号及口令由各业务部门自行负责管理，口令的更换周期为三十天，权责部门应当对以其用户账号进行的所有活动和事件负法律责任。

IT信息系统用户及口令管理办法第一章总则第一条目的：为规避风险，杜绝安全隐患，进一步规范公司生产系统、测试环境和开发环境的用户及口令管理，特订定本办法。

第二条依据：本管理办法根据《公司信息安全管理策略》制订。

第三条范围：本管理办法适用于公司。

第四条定义（一）生产业务系统：指公司从事金融服务的应用网络系统。

（二）管理信息系统：指公司从事日常办公及信息管理的计算机网络系统，具体包括办公自动化系统、信贷管理、人力资源管理、风险管理平台等用来进行内部管理的应用软件系统。

（三）生产系统：包括生产业务系统和管理信息系统。

（四）开发环境：指公司所有进行开发的系统环境。

（五）测试环境：指公司所有进行测试的系统环境。

（六）系统管理员：公司科技信息部各系统硬件及软件的系统管理人员。

（七）数据库管理员：公司科技信息部各系统的数据库管理人员。

（八）应用系统管理员：公司科技信息部各系统的应用维护人员。

（九）测试人员：公司各测试系统的测试人员。

（十）开发人员：公司各应用系统的开发人员。

第五条遵循原则（一）预防性原则：遵循以预防为主、防患于未然的原则，预防案件、事故的发生。

（二）可审计性原则：口令的过程必须保留痕迹，可被审计或追溯。

（三）有限授权原则：对任何人都不能授予过度的、不受监督和制约的权限。

（四）分离制约原则：每一次使用生产系统口令，都必须有两人同时参与，由双人分段管理口令。

（五）职责不相容原则：对不相容职责进行岗位分离。

（六）监督制约原则：针对口令的使用及记录，建立相应的监督检查机制。

第二章用户管理要求第六条对于每个系统，应根据职责不相容原则，建立权责分离的业务矩阵表，定义系统不同用户组及其访问权限，包括终端用户、系统开发人员、系统管理员、应用系统管理员等用户组。

生产系统用户按照“知所必需”的存取控制原则，填写《用户权限申请表》，相关部门负责人审批通过后由系统管理人员操作。

第七条用户账号必须由运行维护中心负责人和系统管理员进行检查，确保用户不会被赋予互相冲突的权限。

附件：天津市电力公司信息系统帐号、口令管理规定(试行)第一章总则第一条为了规范天津市电力公司信息系统中终端计算机、服务器、网络设备、应用与系统相关帐号、口令的建立、使用、维护，保证计算机安全和天津市电力公司信息系统正常有序的运行，特制定本管理规定。

第二条本规定适用于所有使用公司信息系统的用户，包括数据库系统管理员、业务系统管理员、网络管理员、业务系统的使用人员。

同样适用于天津市电力公司信息系统范围内所有使用个人计算机及网络的员工。

第二章术语解释第三条授权用户：●天津市电力公司内部人员：指天津市电力公司的在册职工；●非天津市电力公司内部人员：指临时到天津市电力公司工作，但非天津市电力公司正式员工的人员，包括但不限于开发商、集成商、供应商、顾问、合作人员、临时工、外聘人员、外包业务人员等。

第四条帐号●帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式；●管理员帐号：指在系统中具有较大的权限，能对网络、应用、系统进行关键性设置权限的账号，典型用户为系统管理员；●超级管理员帐号：指对系统具有超级权限的帐号，包含但不限于UNIX的ROOT，WINNT的administrators组成员，数据库的DBA等用户；●公用帐号：指供一组人使用的帐号，其合法使用人限于一个组内；●匿名帐号：供不确定身份的人员使用的帐号。

第五条口令●口令：指系统为了认证帐号使用人的身份而要求使用人提供的证据，如在数据库系统的口令，办公自动化系统的帐号文件及帐号口令；●健壮口令：具有足够的长度和复杂度，难于被猜测的口令；●弱口令：仅由字母、单词、数字或其简单的组合，易于被猜测的口令。

第三章帐号的建立第六条系统要求●天津市电力公司信息系统所使用的计算机操作系统、业务系统、数据库、网络设备、应用软件等均需要支持基于帐号的访问控制功能；●所有需要使用口令的应用软件、业务系统都需要对口令文件提供妥善的保护。

第七条帐号申请原则●只有授权用户才可以申请帐号；●任何系统的帐号设立必须按照规定的相应流程规定进行，具体流程见“附录一：账号、口令建立、变更、取消流程”；●用户申请帐号前应该接受适当的培训，以确保能够正常的操作，避免对系统安全造成隐患；●帐号相应的权限应该以满足用户需要为原则，不得授予与用户职责无关的权限；●任何帐号必须是可以区分责任人，责任人必须细化到个人，不得以部门或个人组作为责任人。