帐号口令及权限管理制度
信息系统用户和权限管理制度
信息系统用户和权限管理制度信息系统用户和权限管理制度在发展不断提速的社会中,我们都跟制度有着直接或间接的联系,制度是各种行政法规、章程、制度、公约的总称。
那么什么样的制度才是有效的呢?以下是小编整理的`信息系统用户和权限管理制度,欢迎大家借鉴与参考,希望对大家有所帮助。
第一章总则第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。
第二条本制度适用于场建设和管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的网络设备、网站系统等。
第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。
第四条场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。
所有信息系统须指定系统管理员负责用户和权限管理的具体操作。
第五条信息系统用户和权限管理的基本原则是:(一)用户、权限和口令设置由系统管理员全面负责。
(二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。
(三)用户、权限和口令管理采用实名制管理模式。
(四)严禁杜绝一人多账号登记注册。
第二章管理职责第七条系统管理员职责负责本级用户管理以及对下一级系统管理员管理。
包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。
第八条业务管理员职责负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。
负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。
第九条用户职责用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。
系统内所有用户信息均必须采用真实信息,即实名制登记。
公司计算机系统用户口令(密码)安全管理规定
公司计算机系统用户口令(密码)安全管理规定第一章总则第一条为加强公司计算机系统用户口令(密码)的安全管理,提高计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,特制定本规定。
第二条公司、各下属子公司的计算机系统用户口令(密码)的安全管理适用本规定。
本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。
第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。
计算机系统用户口令主要为静态口令、动态口令等。
静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。
动态口令一般是指根据动态机制生成的、一次有效的口令。
计算机系统用户口令主要包括:主机系统(数据库系统)、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。
第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。
第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。
第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。
第七条计算机系统用户口令持有人应保证口令具有较高安全性。
选择使用口令安全强度较高的口令,不应使用简单的代码和标记,禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。
第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令,盗用他人访问权限,威胁信息系统安全。
技术部-帐号与口令安全管理制度
帐号与口令安全管理制度第一章总则第一条目的为了规范和加强XXX公司(以下简称“公司”)内外网的主机操作系统、应用系统的帐号口令安全管理,特制定本制度。
第二条适用范围本制度适用于公司,各系统可以自行规定本系统的帐号和口令的管理细则,并针对本系统采取有关技术手段进行安全保障,但必须达到或高于本制度规定的级别。
第三条本制度将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。
第四条公司技术部负责本版块内各系统账号口令管理,以及权限的设置及变更管理。
第二章安全要求第五条用户安全管理一、创立新用户角色或对用户组或用户角色定义进行修改时,应考虑不相容职责分工原则,由业务部门主管(或授权人员)对用户角色的权限设定进行审阅并签字确认,以合理确保用户在系统中的权限与其职责相符。
二、对应用系统用户的权限应合理确保用户在系统中的权限与其职责相符。
如发现不相容职责,应及时通知应用系统运维人员,对用户的权限进行调整。
三、第三方人员使用系统帐号必须得到授权;系统运维人员必须对第三方人员使用系统帐号的情况进行监督、备案;除非得到可以长期使用系统帐号的授权,系统运维人员应在第三方人员使用系统帐号后,及时删除或禁止该帐号。
四、所有应用系统用户使用应用系统帐号时,必须确保每个人员拥有单独帐号,不得多人混用;第三方人员使用系统帐号,必须确保每个人员拥有单独帐号,不得多人混用。
五、第三方人员需远程对业务系统进行操作时,应提供不低于本地现场维护管理要求的技术手段;对于长期使用的远程接入手段,应在远程接入技术方案中说明安全保障措施。
六、第三方人员应相对固定,且便于审计和事故追查。
第六条帐号安全管理一、系统要求1.所有操作系统、应用系统、数据库等均需要支持基于帐号的访问控制功能;2.所有需要使用口令的应用软件、业务软件都需要对口令文件提供妥善的保护;3.各系统应能保存有关安全内容的日志,该日志的保存期限应不小于30天;4.各系统应能自动拒绝创建不符合安全设置条件的帐号和口令,如系统本身无法实现该功能,系统管理员必须加强人工安全管理,保证不存在不符合安全设置条件的帐号和口令。
帐号口令管理制度
帐号口令管理制度一、制度目的为了确保网络安全,保护帐号和个人信息的安全,提高帐号的安全性和可靠性,制定本帐号口令管理制度。
二、适用范围本制度适用于公司所有的员工和外部合作伙伴。
三、口令设置原则1.合法合规:口令的设置必须符合国家相关法律法规和公司的信息安全政策,不得违法违规。
2.复杂性:口令必须具备一定的复杂性,包括大小写字母、数字和特殊字符的组合。
3.定期更新:口令必须定期更新,建议每三个月更新一次。
5.个性化:口令应个性化,避免使用与个人信息相关的内容。
6.口令长度:口令长度应在8-16个字符之间。
7.不重复使用:禁止重复使用以前使用过的口令。
8.不将口令告知他人:禁止将口令告知他人,包括同事、家人等。
如有需要共享帐号,应通过安全渠道进行。
四、口令管理规范1.初始设置:员工在第一次获得帐号时,需要设置一个符合上述口令设置原则的初始口令。
2.定期更新:员工需要定期更改口令,具体更新时间由公司信息安全部门指定。
3.口令保密:员工必须保证口令的安全,不得将口令告知他人,包括同事和家人。
4.口令存储:员工不得将口令以明文形式存储在计算机、云盘、移动存储设备等地方,可以采用加密的方式进行存储。
5.丢失或泄露处理:如果员工发现自己的口令丢失或者泄露,应立即通知公司的信息安全部门,并按照其要求进行处理。
6.暂离电脑时处理:员工在暂离电脑时应将电脑锁屏,以防他人盗用帐号。
五、违规处理措施1.口令不符合要求:对于设置不符合要求的口令,信息安全部门将要求员工立即修改,直到符合要求。
2.未定期更新口令:对于未按规定定期更新口令的员工,信息安全部门将进行警示教育,同时要求尽快更新口令。
3.口令泄露或丢失:对于发现自己的口令被泄露或丢失的员工,信息安全部门将调查原因并采取相应措施,包括重置口令、限制帐号权限等。
4.严重违规处理:对于严重违反本制度的员工,信息安全部门将依据公司相关规定进行严肃处理,包括警告、停职、辞退等。
互联网平台账号权限管理制度办法
互联网平台账号权限管理制度办法精品办公文档一、目的为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。
二、适用范围本制度系统账号是指包括但不仅限保险经纪网、官网、ERP系统、HR系统、及邮箱的用户账号。
(还应包括公司后期可能其它上线系统的用户账号)。
本规定所指账号管理包括:1、用户账号的申请、审批、分配、删除/禁用等的管理。
2、用户账号密码的管理。
三、职责1.网络管理员:1.1、负责对员工账号的开启和停止。
1.2、负责对员工账号权限的分配。
1.3、负责建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。
2.人事部2.1、负责新员工的邮箱账号、ERP系统账号、HR系统账号的开通申请。
2.2、负责员工部门调整、权限调整涉及的账号变更申请。
3.各部门:3.1、负责所使用的信息化硬件与软件的正确使用、维护与保管。
四、普通账号管理1.申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、关闭等申请。
2.在受理申请时,权限管理人员根据《岗位权限对照表》配置权限,给用户分配独有的用户账号或关闭用户账号权限,以使用户对其行为负责。
一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的账号。
3.新员工入职或员工岗位发生变化时,应主动申请所需系统的账号。
4.人员离职的情况下,网络心应当及时关闭此用户帐号或修改用户密码,并根据实际情况回收或注销此账号,回收账号应由网络部与临时待岗人员办理相关领用手续。
5.网络心负责建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。
五、用户账号及权限审阅、用户账号口令管理。
1.技术心指定专人负责每季度对系统账号及权限进行审阅,并填写《账号/权限清理清单》(附表四)。
2. 如果离职人员是系统管理员,则及时更改超级用户口令。
3. 用户账号口令发放要严格保密,用户必须及时更改初始口令。
4. 用户账号口令最小长度为6位,并具有一定复杂度(至少包含英文字母加数字)。
公司信息系统帐号管理制度
公司信息系统帐号管理制度一、制度目的1、明确公司信息系统帐号管理的责任及权利,保障信息系统的安全性和稳定性。
2、规范公司信息系统账号的分配、使用、管理,并防范信息泄露、篡改、丢失等安全事故的发生。
3、加强公司信息系统账号的监管和控制,保证公司的信息安全。
二、适用范围本制度适用于公司所有信息系统的账号管理。
三、制度内容1、账号分配原则(1)所有账号的分配应符合岗位职责要求,由用户单位的负责人申请项目负责人审核,并由总经理进行审批。
(2)离职人员应及时注销所持有的系统账号。
2、账号使用原则(1)严禁将账号、口令借、转、让他人使用。
(2)用户不得以任何形式泄露密码,口令不得使用于多个地方或账号。
(3)确保账号强度合适,具有防护能力。
(4)公司信息系统用户一定要妥善保管账号、密码,严防丢失或被他人窃取;用户需要时应更改密码。
3、账号保护(1)妥善保护个人账号,在未得到授权的情况下不得向他人泄露任何个人密钥或密码等保密信息,不要轻易将密码告诉他人。
(2)定期检查账号是否存在安全隐患,如发现异常情况应及时报告项目负责人和总经理并通知问责。
(3)用户定期更改密码,保证密码的复杂度和安全性,更改完成后及时通知项目负责人和总经理。
(4)账号被冻结或禁用后,经核实确认没有风险后再进行解决,并及时通知项目负责人和总经理恢复账号的使用。
4、账号注销(1)离职人员应立即将所持有的系统账号注销,防止个人账号泄露导致公司信息暴露风险。
(2)离职人员所属用户单位、项目负责人应将离职人员账号的密码等信息全部清除。
(3)除了离职人员外,因非法操作或违反管理规定的用户,项目负责人或总经理有权注销其账号。
5、违规处理(1)在使用账号和口令时违反上述规定的,进行警告处理,并要求其立即更换密码。
(2)如果严重违反规定,对于造成公司重大资金损失或重大社会影响的,公司将视情节轻重采取停止使用、禁止使用、追究其行政责任、合同责任及民事责任等一系列执法纪律和法律责任。
账号和口令管理制度
账号和口令管理制度一、总则为了加强账号和口令管理,确保信息系统的安全和稳定运行,提高信息系统的安全性,维护信息系统中数据的保密性和完整性,根据《信息安全管理办法》等相关法律法规,制定本制度。
二、适用范围本制度适用于所有单位内部使用的信息系统,包括但不限于内部网络、电子邮件系统、ERP系统等。
三、定义1. 账号:指用于验证用户身份的唯一标识符,用于登录信息系统并获取相应的访问权限。
2. 口令:指用户验证身份的字符串,用于保证账号的安全性。
3. 超级用户:指具有对信息系统进行全部操作和管理权限的用户。
4. 普通用户:指除超级用户外的其他用户,具有部分访问和操作权限。
5. 访问控制:指对用户在信息系统中的访问行为进行管理和控制的机制。
四、账号管理1. 账号的设立和分配应当遵循“谁申请、谁审批、谁分配”的原则,确保账号的真实性和合法性。
2. 每个用户应当拥有唯一的账号,不得共享账号。
3. 账号的权属归属清晰明确,定期进行审核和调整,保持账号管理的规范性和有效性。
4. 超级用户的账号权限应当由信息系统管理员进行管控和审核,确保超级用户的权限合理合法。
5. 账号的注销应当及时进行,离职人员应当及时注销账号,避免账号被恶意使用。
五、口令管理1. 口令应当设置为复杂性较高的字符串,包括数字、大小写字母和特殊符号,长度不得低于8位。
2. 口令不得直接使用常见的字典词汇或个人信息,不得与账号或其他信息相关联。
3. 口令应当定期更换,最长不得超过60天,且不得与前几次设置的口令相同或过于相似。
4. 口令的存储应当采用加密的方式进行存储,不得明文传输或存储,以确保口令的安全性。
5. 口令的输入错误次数应当进行限制,达到一定次数后,系统自动锁定账号一段时间。
六、访问控制1. 用户的访问权限应当根据其工作职责和需要进行设置,审批和审核流程应当及时且完整。
2. 敏感信息的访问权限应当进行严格管控,只授权给有合法需求的用户。
3. 访问日志应当定期进行分析和检查,发现异常情况应当及时处理并报告。
帐号口令及权限管理制度
帐号口令及权限管理制度1.引言帐号口令及权限管理制度是一项重要的安全管理措施,旨在保护企业和个人的信息安全。
本制度的目的是确保只有授权人员才能访问和操作相关系统和数据,并采取适当的措施防止未经授权的访问和滥用行为。
以下是本制度的详细内容。
2.帐号创建与维护2.1帐号创建2.1.1所有帐号的创建必须由授权的管理员进行,并按照相关的注册程序和流程。
2.1.2每位用户只能拥有一个帐号。
2.1.3在申请帐号时,用户必须提供真实、准确的个人信息,并承诺遵守相关的安全规定。
2.2帐号维护2.2.1所有帐号必须定期进行管理和维护,包括删除未使用或已经过期的帐号。
2.2.2忘记密码或需要重置密码的用户必须按照规定的流程进行密码重置,不得向任何人泄露密码。
3.口令安全与管理3.1口令设置3.1.1所有帐号必须设置强密码,密码长度不得少于8位,包括大小写字母、数字和特殊字符。
3.1.2口令应定期更换,推荐每3个月更换一次。
3.1.3不得使用容易猜测的密码,如生日、手机号等个人信息。
3.2口令保密3.2.1口令是用户访问和操作系统的凭证,用户必须将口令妥善保管,不得向他人泄露。
3.2.2在公共场所或他人办公区域时,用户必须确保隐藏或者锁定屏幕,防止他人窥视。
3.3口令修改与重置3.3.1在发现口令泄露的情况下,用户必须立即向管理员报告,并按规定的流程进行密码重置。
3.3.2口令重置的申请必须经过管理员审核和验证,用户需提供必要的身份信息。
4.权限管理与控制4.1权限授予4.1.1权限授予必须按照岗位职责和业务需求进行,仅限于用户需要进行正常工作所必须的权限。
4.1.2权限授予必须经过授权管理员的审批和记录,并定期进行复核。
4.2权限验证与审计4.2.1系统必须实现权限验证机制,确保只有拥有合法权限的用户才能访问和操作系统和数据。
4.2.2进行权限审计,定期检查和验证用户的权限使用情况,防止权限滥用和非法操作。
4.3帐号注销4.3.1当用户离开公司或者岗位变动时,管理员必须及时注销相关的帐号,防止未经授权的访问和滥用。
帐号口令及权限管理制度
帐号口令管理制度目录第一章总则 (4)1.1概述 (4)1.2目标 (5)1.3范围 (5)1.4要求 (5)第二章帐号、口令和权限管理的级别 (7)2.1关于级别 (7)2.2如何确定级别 (7)2.3口令、帐号和权限管理级别的定义 (7)2.3.1等级1 –最低保障 (8)2.3.2等级2-低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最高保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2口令应该以用户角色定义 (11)3.2.1系统管理员/超级用户 (11)3.2.2普通帐号 (11)3.2.3第三方用户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级一需要遵守的规范 (13)3.3.2保障等级二需要遵守的规范 (13)3.3.3保障等级三需要遵守的规范 (13)3.3.4保障等级四需要遵守的规范 (14)3.4帐号管理流程 (14)3.4.1创建用户帐号 (14)3.4.2变更用户 (17)3.4.3撤销用户 (19)3.4.4定期复审 (20)第四章口令管理 (21)4.1通用策略 (21)4.2口令指南 (21)4.2.1口令生成指南 (21)4.2.2口令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据工作需要确定最小权限 (24)5.3建立基于角色的权限体系 (24)5.4审计人员权限的界定 (25)5.5第三方人员权限设定 (26)第一章总则1.1 概述随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。
主要表现在以下方面:1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。
权限密码管理制度
权限密码管理制度
1. 总则
1.1. 为确保调度自动化系统安全运行,保障电力系统的安全稳定运行,特制订此管理制度。
2. 服务器密码及口令管理
2.1. 主站系统服务器、WBE服务器以及其余设备装置的口令和密码,由部门负责人和系统管理员商议确定,必须两人同时在场设定。
2.2. 调度自动化系统设备的密码须部门负责人在场时由系统管理员记录封存。
2.3. 密码及口令要定期更换(视网络具体情况),更换后系统管理员要销毁原记录,将新密码或口令记录封存(方式同2.2)
2.4. 如发现密码及口令有泄密迹象,系统管理员要立刻报告部门负责人,经批示后再更换密码和口令。
3. 用户密码及口令的管理
3.1. 对于要求设定密码和口令的用户,由用户方指定负责人与系统管理员商定密码及口令,由系统管理员登记并请用户负责人确认(签字或电话通知),之后系统管理员设定密码及口令,并保存用户档案。
3.2. 当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向网络服务管
理部门提交申请单,由部门负责人或系统管理员核实后,履行本条1款所规定的手续,并对用户档案做更新记载。
3.3. 如果网络提供用户自我更新密码及口令的功能,用户应自己定期更换密码及口令,并设专人负责保密和维护工作。
4. 附则
4.1. 本管理办法由自发布之日起执行。
账号管理规章制度内容有哪些
账号管理规章制度内容有哪些一、总则为规范账号管理,保障账号安全,维护公司信息资产安全,提高公司运作效率,特制定本规章制度。
二、适用范围本规章制度适用于公司所有员工在组织内外使用账号的管理及操作行为。
三、账号的定义1. 账号:指员工识别和验证自己身份的唯一标识,用于访问公司系统或资源的凭证。
2. 管理员账号:具有系统管理员权限的账号。
3. 普通账号:非管理员账号,用于员工正常工作和访问公司系统或资源。
四、账号管理责任1. 公司领导层应当对账号管理工作负有最终责任。
2. 岗位负责人应当对属下员工账号管理负有监督责任。
3. 员工应当严格遵守公司账号管理规定,确保账号安全稳定。
五、账号发放1. 公司领导根据员工职责和需要合理分配账号。
2. 员工应当妥善保管自己的账号密码,不得将账号密码泄露给他人。
3. 离职员工应当立即交还所有账号,不得继续使用。
六、账号使用规定1. 员工不得将账号用于非正常操作,不得盗用他人账号。
2. 不得使用他人账号进行操作,一经发现将追究责任。
3. 员工应当遵守公司内部操作规定和安全制度,确保账号使用安全可靠。
七、账号权限管理1. 管理员应当根据员工工作需要合理设置账号权限。
2. 管理员应当按需提升或降低账号权限,确保账号权限适应员工工作需求。
3. 管理员应当定期审查账号权限,确保账号权限符合员工实际工作。
八、账号安全设置1. 员工应当定期更改账号密码,确保账号安全。
2. 管理员应当采取措施加强账号安全设置,防止账号被盗用。
3. 离职员工账号应当被及时禁用,并更改后备份账号密码。
九、账号监控1. 管理员应当对公司账号进行监控,发现异常情况及时处理。
2. 员工应当注意账号操作记录,发现异常情况及时报告。
十、账号违规处理1. 对于涉嫌违规使用账号的员工,将按照公司规定进行处理。
2. 对于账号被盗用等情况,应当及时报告并协助相关部门处理。
十一、账号管理记录1. 管理员应当对账号管理工作进行记录,并保存备查。
帐号口令管理制度
帐号口令管理制度目录第一章总则 (4)1.1概述 (4)1.2目标 (5)1.3范围 (5)1.4要求 (5)第二章帐号、口令和权限管理的级别 (7)2.1关于级别 (7)2.2如何确定级别 (7)2.3口令、帐号和权限管理级别的定义 (7)2.3.1等级1 –最低保障 (8)2.3.2等级2-低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最高保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2口令应该以用户角色定义 (11)3.2.1系统管理员/超级用户 (11)3.2.2普通帐号 (11)3.2.3第三方用户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级一需要遵守的规范 (13)3.3.2保障等级二需要遵守的规范 (13)3.3.3保障等级三需要遵守的规范 (13)3.3.4保障等级四需要遵守的规范 (14)3.4帐号管理流程 (14)3.4.1创建用户帐号 (14)3.4.2变更用户 (17)3.4.3撤销用户 (19)3.4.4定期复审 (20)第四章口令管理 (21)4.1通用策略 (21)4.2口令指南 (21)4.2.1口令生成指南 (21)4.2.2口令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据工作需要确定最小权限 (24)5.3建立基于角色的权限体系 (24)5.4审计人员权限的界定 (25)5.5第三方人员权限设定 (26)第一章总则1.1 概述随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。
主要表现在以下方面:1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。
口令、账户管理制度
口令、账户管理制度一、信息系统管理员和网络安全管理员职责信息系统管理员和网络安全管理员负责统一管理信息系统用户、口令、权限。
严格管理用户分配,按照最小安全访问原则,为各类用户分配相关权限。
及时根据业务需要对信息系统中用户及权限进行调整。
登记和记录信息系统中各类用户、权限情况,并进行日常检查,及时补救存在的隐患。
定期更改所管理用户的口令,督促其他用户更新口令。
在得到信息部主任同意后,对信息系统中各类超级权限用户的口令进行修改,并整理交报信息部主任。
及时清理各系统中停止使用的帐户及权限。
二、口令设置要求操作系统用户、数据库系统用户、网络设备、应用程序用户必须设置口令。
主要业务服务器操作系统管理员、主要网络设备用户、数据库管理员、交易系统超级用户口令长度应在8位以上,应用系统用户口令长度应大于6位,系统有特殊规定的除外。
各用户口令的设置不可相同,应尽量不易记忆,并同时包含字母、数字、以及其它字符,不能使用字母、字符的口令除外。
不得使用用户名和部分用户名作为口令,不得以生日、电话等作为口令,系统有特殊规定的除外。
三、用户、口令、权限的管理各系统中不得保留系统中匿名访问用户。
如需建立其他用户,应由使用者向信息部主任提出申请,经批准后系统管理员给予设置。
管理员应保守机密,不得将用户口令透露给他人。
核心操作系统、数据库管理员及应用系统超级用户口令每半年必须更新;其它系统口令应至少每三个月更新一次。
管理员应提醒应用系统操作人员保存好自己的口令,并按口令设置要求经常修改。
建立与应用系统超级用户权限相仿的用户进行日常维护工作,应减少超级用户的使用。
在管理员离职时,应将其管理的用户、口令交给其下任管理员,并有义务保证交接时系统的正常运行。
新任管理员应及时更改口令。
系统操作人员离职时,系统管理员应及时将其使用的用户注销,并修改相应记录。
所有口令修改应进行登记,由操作人、复核人签字确认,相关纸制表格密封后保存。
对于个别系统无法更换某些用户的密码,或更换密码后会对应用造成较大的影响,这些用户的密码可以不进行更换,但必须加强管理,专人保管不得泄露。
帐号口令管理制度
帐号口令管理制度【制度目的】1.保护账号安全:加强账号和密码的安全性,避免密码泄露、账号被盗用等安全风险。
2.提升信息系统安全:减少账号被入侵的风险,保护重要的企业信息资产。
3.便于管理和维护:通过制度规范统一账号和密码的使用,方便进行账号管理和维护工作。
4.加强员工安全意识:借助制度的提醒教育,提高员工对账号安全和信息安全的重视程度。
【制度内容】1.账号创建和审批:必须按照规定的程序和权限,由专人负责创建账号并进行审批。
2.密码安全要求:账号密码应具备一定的复杂性,包括长度要求、大小写字母、数字和特殊字符的组合。
密码的安全性应定期进行检测和评估,并设定密码过期时间。
3.密码管理:用户账号密码应保存在经过加密的形式,不得以明文方式存储或传输。
密码不得与其他人共享或转存。
4.强制变更密码:针对初始密码或者定期更改密码的要求,应设定合理的时间间隔和变更规则,并及时提醒用户更改密码。
5.巡检与监控:定期对账号和密码进行巡检,发现异常情况及时处理。
对重要账号可能存在泄露风险的,进行日志监控和预警。
6.账号注销:员工离职、调离或重要信息更替时,必须及时注销对应账号,防止账号继续被滥用。
7.账号访问权限:根据岗位职责和工作需要,对不同用户设置不同的访问权限,避免权限过高或过低的情况出现。
8.账号禁止共享:严禁将个人账号供他人使用,账号要与实际使用人一一对应。
9.账号锁定和解锁:密码连续输入错误或长时间不使用,账号应自动锁定,需要通过特定授权的方式解锁。
10.账号使用监管:对账号的使用情况进行监管和审计,发现异常情况应及时处理并产生相关记录。
【制度执行】1.制度宣贯:通过内部培训和相关宣传,向员工普及账号口令管理制度的重要性和相应的责任。
2.制度监督和检查:建立专门的监督机构或指定专人,对制度的执行情况进行监督和检查,并及时处理制度违规行为。
3.制度改进:根据实际情况和信息安全的需要,不断完善和改进账号口令管理制度,提高制度的有效性和适应性。
计算机等级保护网络安全管理制度【访问控制】25-XX公司网络与信息安全-帐号、口令及权限管理办法
XX网络与信息安全账号、口令及权限管理办法保密申明本文档版权由XX所有。
未经书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播目录编制说明 (3)第一章总则 (4)第二章组织和职责 (4)第三章账号管理 (4)第四章密码、口令管理 (5)第五章权限管理 (6)第六章附则............................................................................................................. 错误!未定义书签。
第一节文档信息 ................................................................................................. 错误!未定义书签。
第二节版本控制 ................................................................................................. 错误!未定义书签。
第三节其他信息 ................................................................................................. 错误!未定义书签。
编制说明为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求,特制定本策略。
本策略依据我国信息安全的有关法律法规,并参考国际有关信息安全标准制定的。
《XX网络与信息安全—账号、口令及权限管理办法》规范账号、口令及权限的使用,降低由于滥用、越权等威胁带来的风险。
公司帐号口令管理实施细则
帐号口令管理实施细则(2009年)第一章总则第一条为规范通信网、业务网和各支撑系统帐号口令管理,保障系统安全运行,按照“谁主管,谁负责”、“谁使用、谁负责”、所有帐号均应落实责任人的原则,根据《帐号口令管理办法》的要求,特制定本实施细则。
第二条本实施细则适用于省公司及下属各分公司、直属单位。
适用在上述系统中拥有帐号进行系统维护和业务管理、非通信业务客户的所有人员,包括员工和第三方人员,以下简称“系统用户”。
第三条各分公司应按照本实施细则要求结合本分公司的具体情况,制定帐号口令管理的各项具体管理制度。
第二章职责与分工第四条工程建设部门作为处于工程期间、未交维系统的帐号管理主体,负责管理设备厂商、集成商等及施工人员在系统中的帐号。
第五条系统交维后,按照“谁主管,谁负责”原则,系统所属维护部门负责该系统的帐号管理。
由不同部门分别维护管理操作系统层和应用层的系统,各相关部门分别作为各层帐号的管理部门。
第六条系统维护部门主管领导负责系统帐号审批及授权管理,推动制定帐号审批流程、表格模版等并落实责任人,监督落实帐号申请表、用户帐号登记表的维护管理。
第七条系统维护部门主管领导负责建立系统帐号审批、创建及删除、权限管理以及口令管理要求执行情况审核机制,接受上级或者职能管理部门的定期审核。
同时,应根据本公司部门设置、分工及维护模式等具体情况,明确指定审核责任人。
第八条系统用户需按照帐号审批流程申请所需帐号、修改权限或者撤销帐号。
在帐号审批成功并创建后,应按照本办法第六章要求对帐号口令进行定期修改。
系统用户应严格保护帐号口令,不得故意泄露,否则需承担由此导致安全问题的责任。
第九条帐号口令管理的总体协调牵头部门为省公司网络与信息安全领导小组及其办公室。
第十条各分公司及各部门应制定相关职责分工,将帐号口令管理落实到人。
第三章用户管理第十一条系统用户应通过劳动合同等形式与省公司或相关市公司签订保密协议。
第十二条第三方公司人员为向提供系统维护、调测、技术支持服务,需要使用系统帐号时,第三方公司应首先与省公司或相关市公司签订保密协议。
帐号口令及权限管理制度
帐号口令管理制度目录第一章总则 (4)1。
1概述 (4)1。
2目标 (5)1.3范围 (5)1。
4要求 (5)第二章帐号、口令和权限管理的级别 (7)2。
1关于级别 (7)2.2如何确定级别 (7)2。
3口令、帐号和权限管理级别的定义 (7)2.3.1等级1 –最低保障 (8)2。
3。
2等级2-低保障级别 (8)2.3。
3等级3 –坚固保障级别 (9)2.3。
4等级4 –最高保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3。
2口令应该以用户角色定义 (11)3。
2.1系统管理员/超级用户 (11)3。
2.2普通帐号 (11)3。
2。
3第三方用户帐号 (12)3.2。
4安全审计员帐号 (12)3.2。
5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3。
1保障等级一需要遵守的规范 (13)3.3。
2保障等级二需要遵守的规范 (13)3。
3。
3保障等级三需要遵守的规范 (13)3.3.4保障等级四需要遵守的规范 (14)3。
4帐号管理流程 (14)3。
4.1创建用户帐号 (14)3。
4。
2变更用户 (17)3。
4.3撤销用户 (19)3。
4.4定期复审 (20)第四章口令管理 (21)4。
1通用策略 (21)4.2口令指南 (21)4。
2。
1口令生成指南 (21)4。
2.2口令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据工作需要确定最小权限 (24)5.3建立基于角色的权限体系 (24)5。
4审计人员权限的界定 (25)5。
5第三方人员权限设定 (26)第一章总则1.1 概述随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。
主要表现在以下方面:1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。
帐号口令管理制度
帐号口令管理制度一、总则随着互联网的快速发展,大量的个人信息和企业机密都存储在互联网上,因此帐号安全是至关重要的。
帐号口令是保障帐号安全的第一道防线。
为了强化帐号口令管理,减少帐号被盗的风险,本制度制定,以规范化、标准化、统一化帐号口令管理工作,加强帐号安全保护。
二、适用范围本制度适用于所有公司内部帐号口令管理工作。
三、帐号口令的要求1. 复杂度要求:帐号口令要求使用字母、数字、特殊字符的组合,长度不少于8位。
2. 定期更新:所有帐号口令需定期更新,建议每3个月更新一次。
3. 不易猜测:帐号口令不得使用与个人相关的信息,如生日、姓名、电话号码等。
4. 禁止共用:帐号口令严禁共用,每个帐号只能由相应的人员使用。
5. 安全保管:帐号口令应妥善保管,不得随意泄露给他人。
6. 即时处理:一旦发现帐号口令异常,应立即修改并报告相关部门。
四、帐号口令管理流程1. 设定帐号口令:由管理员为新帐号设定初始口令,口令需符合复杂度要求。
2. 定期更新口令:系统会定期提示用户更新口令,用户需按要求更改口令。
3. 口令修改记录:用户每次修改口令后,系统需记录下修改的时间和人员。
4. 强制修改口令:如果发现口令存在安全隐患,管理员有权强制要求用户修改口令。
五、帐号口令管理责任1. 管理员职责:负责制定和执行帐号口令管理制度,监督帐号口令的使用情况。
2. 用户责任:用户应严格遵守本制度规定,妥善保管自己的帐号口令。
3. 安全部门职责:负责对帐号口令进行安全评估和检测,及时发现并解决存在的安全隐患。
4. 监督部门职责:对各部门的帐号口令管理情况进行监督检查,发现问题及时提出整改建议。
六、帐号口令管理的技术保障1. 密码加密:对用户的帐号口令进行加密存储,防止明文存储导致泄露。
2. 口令强度检测:系统能够对用户设置的口令强度进行评估,提供安全性建议。
3. 口令过期提醒:系统会在口令过期前提醒用户及时更改口令,防止口令长时间未更换。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
帐号口令管理制度目录第一章总则 (4)1.1概述 (4)1.2目标 (5)1.3范围 (5)1.4要求 (5)第二章帐号、口令和权限管理的级别 (7)2.1关于级别 (7)2.2如何确定级别 (7)2.3口令、帐号和权限管理级别的定义 (7)2.3.1等级1 –最低保障 (8)2.3.2等级2-低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最高保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2口令应该以用户角色定义 (11)3.2.1系统管理员/超级用户 (11)3.2.2普通帐号 (11)3.2.3第三方用户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级一需要遵守的规范 (13)3.3.2保障等级二需要遵守的规范 (13)3.3.3保障等级三需要遵守的规范 (13)3.3.4保障等级四需要遵守的规范 (14)3.4帐号管理流程 (14)3.4.1创建用户帐号 (14)3.4.2变更用户 (17)3.4.3撤销用户 (19)3.4.4定期复审 (20)第四章口令管理 (21)4.1通用策略 (21)4.2口令指南 (21)4.2.1口令生成指南 (21)4.2.2口令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据工作需要确定最小权限 (24)5.3建立基于角色的权限体系 (24)5.4审计人员权限的界定 (25)5.5第三方人员权限设定 (26)第一章总则1.1 概述随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。
主要表现在以下方面:1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。
所有系统具备不同的安全需求级别,目前没有一个统一的规范描述和区分这种级别,导致对口令、帐号和权限的管理处于较为混乱的状况。
2.由于存在大量的帐号和用户,人员的变化、岗位的变化和需求变化会导致帐号管理复杂度大大增加,必须有一套完整的帐号管理规范、流程,保证帐号的变化在可管理、可控制的范畴内。
3.弱口令被猜中后导致系统被入侵是系统被入侵的最主要原因之一,因此如何管理口令的生命周期,如何设置较强的口令成为当前一个重要的课题。
特别是snmp口令的缺省配置常常成为一个严重的问题。
这些问题有些可以通过集中认证、双要素认证等方式实现,但是最关键的还是应当通过建立规范和指南来实现。
4.即使有良好的帐号流程管理和控制,有正确的口令设置,仍然无法防止内部的滥用和误用,因为这些滥用和误用的前提通常是用户已经有了一个口令和帐号,因此,必须对用户的权限进行严格的管理和限制,特别是利用系统功能实现最小授权的原则。
5.由于各个系统存在的信任关系,整个系统一环套一环,一个被击破可能导致全线崩溃,因此必须保障整个系统达到一致的安全水平。
总之,随着业务系统和支撑系统的发展及内部用户的增加,必须有一套规范可以保障系统的帐号、口令和权限被合理地管理和控制,达到系统对认证、授权和审计的需求。
1.2 目标本管理办法的主要内容包括:●定义帐号、口令和权限管理的不同保障级别;●明确帐号管理的基本原则,描述帐号管理过程中的各种角色和组织职责,确定帐号管理的流程:包括帐号的申请、变更、注销和审计;●规定口令管理中的基本要求,例如口令变更频率,口令强度要求,不同类型帐号口令的要求,提供口令生成的指南;●确定权限分析和管理的基本原则和规范;●确定审计需要完成的各项工作;●给出流程中需要的各种表格。
1.3 范围●网络和业务系统范围适用范围包括CMNET、网管、MDCN、BOSS、OA/MIS等西藏电信全网所有计算机信息系统和IP网络。
●帐号、口令和权限管理包括不同的层次范围帐号、口令和权限管理涉及网络设备、主机系统、数据库、中间件和应用软件。
1.4 要求●本规范制定了适合西藏电信的基本准则和级别划分规则,全公司应该遵照第二章的级别划分要求对所有主机、数据和应用系统进行评估和级别划分,并针对每一级别,遵循第三、四、五章的要求,明确哪些适合于哪些系统。
●评估报告的内容应该包括:⏹所有主机资产列表⏹每台主机/服务器/数据库/应用系统需要的帐号、口令和权限保障级别和原因,主要评估方法是根据第二章中每一级别的特征逐条比较,选择最为接近的级别⏹根据第三、四五章的要求,明确每一级别需要遵守的规范细节●评估过程和方法应该透明,评估报告随评估结果和相关策略一并提交网络与信息安全办公室。
第二章帐号、口令和权限管理的级别2.1 关于级别为了实现西藏电信所有IT信息系统的正常安全运行,我们在这里定义四个口令、帐号和权限管理的保障级别,这些级别确认不同系统对帐号管理的不同需要,不同级别的系统和设备需要不同级别的口令、帐号和权限管理的技术、管理制度和管理流程。
通常来说,价值较低的系统被定义为需要较低的保障级别,价值较高的系统被定义为需要较高的保障级别。
2.2 如何确定级别第一步:对各系统进行一次风险评估,风险评估的结果能够确定系统需要口令、帐号管理权限的保障级别并揭示由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果。
由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果越严重,需要的安全措施越高,相应地需要的保障级别也越高。
风险评估还应遵照本规范揭示相应的应用系统需要采取何种帐号、口令和权限措施,这些措施应该包括技术措施和管理措施。
第二步:匹配风险评估揭示的风险和口令、帐号和权限需要的保障级别。
风险评估的结果应该被总结并得出结论,最终结论与下一节定义的各种级别进行比较,选择最为接近的级别作为该资产或者系统需要的口令、帐号和权限保障级别。
当进行确认的时候,应当按照系统没有任何安全措施的情况来进行评估和比较,而不应当在假设某个系统已经使用了某个保障技术的情况下进行比较。
另外对于一个系统的保障应该按照该系统可能受到的所有危害的最高级别来匹配保障级别。
第三步:确定使用何种口令、帐号和权限管理、技术措施,具体的结论应该以规范制度的形式加以规定。
请注意,由于某些技术本身可能带来一些额外风险,应该确认该技术是否真的达到应用系统对应等级的需求,评估残余风险。
2.3 口令、帐号和权限管理级别的定义本节定义口令、帐号和权限管理需求的四个级别,我们将给出每个级别的特征和相关的例子,级别分成1~4,数字越大表示需要的帐号、口令和权限管理保障信心等级越高。
2.3.1等级1 –最低保障描述在第一等级保障的情况下,只有基本的甚至没有保障措施用于电子系统的帐号,等级一的情况下,错误的口令、帐号和权限管理可能导致:●给电信、客户或者第三方带来最小的不便●不会给电信、客户或者第三方带来直接的经济损失●不会给电信、客户或者第三方带来不快●不会给电信、客户或者第三方带来名誉或者地位的损失●不会破坏电信、客户或者第三方需要执行的商业措施或者交易●不会导致民事或者刑事犯罪●不会向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●一个公司的内部交流论坛,不用于任何工作目标,可以自行注册帐号并发言,尽管帐号的泄漏会带来一些不便和伪冒,但是由于不用于工作目的,因此不会造成大的损失。
●未验收和未投入使用的系统,工程过程中的系统(假设没有涉及知识产权,例如软件代码泄密的问题的情况下)2.3.2等级2-低保障级别描述通过常用的措施即可保护系统的可信认证,必须充分考虑代价和认证安全性的平衡。
这种等级的认证被误用或者破坏可能导致:●给电信、客户或者第三方带来较小的不便●给电信、客户或者第三方带来较小直接的经济损失或者没有直接经济损失●会给电信、客户或者第三方带来较小的不快●会给电信、客户或者第三方带来较小名誉或者地位的损失●存在一定的风险,可能破坏电信、客户或者第三方需要执行的商业措施或者交易●不会导致民事或者刑事犯罪●存在一定风险,可能少量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●一台常用办公电脑,该电脑上没有存储任何机密文件,他的帐号被窃取可能导致公司常用信息例如通讯录被泄漏。
●一个有查询系统的帐号,用户可以通过Internet注册来查询自己的帐单。
该帐号失窃可能导致用户信息的泄漏。
2.3.3等级3 –坚固保障级别描述通常等级三意味着正式的业务流程使用的帐号,通常需要较高信心来保证身份的认证和正确的授权,这种等级的认证被误用或者破坏可能导致:●给电信、客户或者第三方带来较大的不便●给电信、客户或者第三方带来较大直接的经济损失或者没有直接经济损失●会给电信、客户或者第三方带来较大的不快●会给电信、客户或者第三方带来较大名誉或者地位的损失●存在较大的风险,会破坏电信、客户或者第三方需要执行的商业措施或者交易●会导致民事或者刑事犯罪●存在较大风险,可能大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●一般的主机操作系统、数据库、和路由器的高权限帐号,例如root、administrator、dba等。
●业务系统的关键管理帐号,可以读写重要的用户信息、业务信息和帐单信息。
2.3.4等级4 –最高保障等级描述等级四的保障通常对应需要非常大的信心保障的系统这种等级的认证被误用或者破坏可能导致:●给所有电信、客户或者第三方带来巨大的不便●给电信、客户或者第三方带来极大直接的经济损失或者没有直接经济损失●会给电信、客户或者第三方带来极大的不快●会给电信、客户或者第三方带来巨大名誉或者地位的损失●破坏电信、客户或者第三方需要执行的商业措施或者交易●会导致民事或者刑事犯罪●大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●关键系统,例如计费系统数据库主机的操作系统和数据库。
●用于存储公司最高商业机密或密级为绝密的系统的认证。
第三章帐号管理3.1 职责定义●员工所在班组:负责发起员工帐号的创建、变更和撤消申请;●员工所在部门系统管理员:负责维护和管理业务系统,对业务系统负全责,具体负责帐号的具体生成、变更和删除,并进行定期审计;●员工所在部门安全管理人员:负责审批、登记备案用户权限。
3.2 口令应该以用户角色定义电信的帐号应基于统一的角色进行管理。
帐号的角色可以从电信业务角度分或从IT管理角度分。
如果从IT管理角度可以分为以下部分。
3.2.1系统管理员/超级用户系统管理员和超级用户是有权限对系统的配置、系统最核心信息进行变更帐号的角色,通常每个系统至少具有一个或者一组该类帐号,该类帐号的管理应该最为严格,因为这些帐号可以对系统产生重大影响。