云平台密码使用管理制度

XXX

密码使用管理制度

修订及复核记录

目录

目录 (3)

第一章总则 (4)

第二章人员及职责 (4)

第三章安全管理要求 (4)

3.1用户安全管理 (4)

3.2账号安全管理 (5)

3.3密码安全管理 (8)

第四章密码分级定义 (9)

第五章密码安全策略 (10)

第六章相关记录 (11)

第七章附则 (12)

第一章总则

第一条为了规范和加强电子政务云平台内的主机操作系统、网络设备、网络应用系统的帐号和密码安全管理，预防口令泄漏和身份假冒等带来的风险, 为主机操作系统、网络设备、网络应用系统为生成密码、保护密码以及变更密码等建立相应的策略；为数据的保护和加密建立相应的策略。为保障XXX电子政务云平台稳定持续的运行,特制定本制度。

第二条各系统可以自行规定本系统的帐号和口令的管理细则，并针对本系统采取有关技术手段进行安全保障，但必须达到或高于本制度规定的级别。

第三条本管理规定根据《信息安全建设总体策略规定》制订。

第四条本管理办法适用于上海市XXX电子政务云平台内所有信息应用系统及附属设备；适用于需要帐号和密码进行业务操作的相关部门和人员；适用于因业务关系需要使用云平台系统的第三方服务商或者供应商；

第五条本文档将依据信息技术和信息安全技术的不断发展和信息安全风险的演变及信息安全保护目标的不断变化而进行版本升级。

第二章人员及职责

第六条上海市XXX主任负责监督此文档的落实。

第七条上海市XXX电子政务云平台的系统管理员负责制执行本管理规定的要求。

第三章安全管理要求

第八条针对所有人员对电子政务云平台相关的帐户和密码的申请、使用和分配；针对帐户和密码的生命周期的管理；针对电子政务云平台内业务应用系统的帐户和密码的变更。根据这些方面对帐户和密码的安全管理提出以下要求。

3.1用户安全管理

第九条创立新的用户角色或对用户组或用户角色定义进行和修改时，应考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以确保在系统中分配给用户的权限与其职责相符。

第十条应对业务应用系统中的用户的权限进行周期性审计，以确保用户在系统中的权限与其职责相符。如发现与其职责不符相，应及时通知应用系统管理员，对用户的权限进行调整。

第十一条第三方人员使用系统时必须先向XXX提出申请，再得到科委主任审批后，由相关系统管理员为其创建临时帐号。同时，该系统管理员必须对第三方人员使用系统帐号的情况

进行监督；除非得到可以长期使用系统帐号的授权，否则系统管理员应在第三方人员使用系统帐号后，及时删除或禁用该帐号。

第十二条所有业务应用系统的用户在使用应用系统帐号时，必须确保每个人拥有单独帐号，不得多人混用。第三方人员使用系统帐号，必须确保每个人员拥有单独帐号，不得多人混用。

第十三条第三方人员需远程对业务系统进行操作时，应提供不低于本地现场维护管理要求的技术手段。对于长期使用的远程接入手段，应在远程接入技术方案中说明安全保障措施。

第十四条第三方人员应相对固定，且便于审计和事故追查。

3.2账号安全管理

第十五条系统要求

✓所有操作系统、应用系统、数据库、网络设备等均需要支持基于帐号的访问控制功能。

✓所有需要使用口令的应用软件、业务软件都需要对口令文件提供妥善的保护。

✓各系统应能保存有关安全内容的日志，该日志的保存期限应不小于30天。

✓各系统应能自动拒绝创建不符合安全设置条件的帐号和口令。如系统本身无法实现该功能，系统管理员必须加强人工安全管理，保证不存在不符合安全设置条件的帐

号和口令。

第十六条帐号设立原则

✓操作系统、应用系统、数据库、网络设备等系统均应通过帐号和口令实现登录验证。

✓应用系统用户按个人创建单独的用户帐号，并赋予相应的权限，以避免共享帐号的产生。帐号必须明确责任人，责任人必须细化到个人，不得以部门或组作为责任人。

第十七条帐号的使用原则

✓任何帐号只限于申请帐号过程中所声明的使用人使用，禁止其他人使用此帐号。

✓系统正式投入使用前，必须更改原来系统中的缺省帐号的所有口令，以保证正式环境的安全。

✓帐号使用人在使用的过程中，不得使用帐号访问与自己工作无关的资源。

✓系统管理员应定期对系统中的帐户进行审计，对不符合要求的帐号进行整改。

第十八条特权帐户的管理原则

✓主机操作系统、网络设备和数据库的超级管理员帐号，由相应系统维护人员统一进行管理、设置和分配。

✓超级管理员帐号必须报由XXX主任批准，对使用系统超级管理员帐号的用户进行授权审批，必须有正式的书面授权流程。

✓申请操作系统超级管理员帐号的《应用系统账号开通申请》由科委存档，并将成功

申请的操作系统超级管理员用户帐号信息填写至《应用系统管理员权限帐号记录》。

✓XXX管理人员每月对具有系统超级管理员帐号的用户清单《应用系统管理员权限帐号记录》进行复核并签字确认，对多余或不恰当的账号进行调整。

✓所有系统帐号的修改必须填写《操作系统变更申请表》。

✓超级权限应基于“使用需要”，逐个事件进行授权，即以完成其工作职责的最低要求为依据，超级权限在完成特定任务后应被立即收回。

✓应紧急情况需要，立即授予的超级权限，须在事后补充进行授权流程。

第十九条操作系统普通用户帐号的管理原则

✓操作系统普通用户帐号由具体使用人员向系统管理员申请，系统管理员对普通帐号统一进行管理、设置和分配。

✓对普通用户帐号的创建、变更或撤销申请的审批，必须有正式的书面审批流程《操作系统账号开通申请》。

✓申请操作系统普通用户帐号创建、变更或撤销的《操作系统账号开通申请》由XXX 管理人员存档，并将变更的操作系统普通用户帐号信息填写至《操作系统普通权限

帐号记录》。

✓XXX管理人员每季度对系统普通用户帐号清单《操作系统普通权限帐号记录》进行复核并签字确认，对多余或不恰当的账号进行调整。

✓所有系统普通帐号的修改必须填写《操作系统变更申请表》。

✓操作系统普通用户帐号权限应基于“使用需要”，逐个事件进行授权，即以完成其工作职责的最低要求为依据，临时帐号应在完成特定任务后由系统管理员立即收回。

✓系统管理员需通过安全途径将帐号初始口令告知用户，用户收到初始口令后，应在初次登陆系统时修改初始口令。

✓操作系统普通用户帐号的撤销需信息管理部业务领导以书面方式发出帐号撤销通知，由系统管理员根据通知书撤销用户帐号。

第二十条应用系统帐号

1）帐号申请

新员工正式入职后，填写《应用系统帐号申请单》（附件一），部门领导审批后提交XXX 由科委主任授权后再创建相关用户帐号。新员工在第一次使用该帐户登录应用环境时必须改变初始密码。

应用系统用户账号申请流程如下图：