信息系统帐号及密码管理规范

变更版本

1目的

为保证系统安全，防止非法进入系统，明确操作人员职权、责任范围，特制定本制度。

2范围

适用于XXXX及辖下所有分公司的所有信息系统涉及到的访问控制。

3定义

信息系统是指基于计算机和计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

信息系统是由软件、硬件、操作人员及系统所承载的信息等几部分组成。软件包括计算机系统软件、网络软件和应用软件等，这些软件对系统硬件进行管理并为按需求进行信息处理等应用提供必要的支持；硬件包括计算机硬件、网络硬件及其配套硬件设备等，它们是信息的载体，信息系统的基础；人是信息系统最终使用者，也是在信息系统整个生命周期中，如规划设计、建设实施、运行维护等过程中的参与者和管理者，人的因素是保证信息系统正常工作不可缺少的重要部分。

4职责

4.1权限申请人：IT部。

4.2各业务部门负责人：负责系统相关模块应用程序访问权限的分配、审批。

4.3IT部：负责系统访问控制的技术管理以及访问权限控制和实施。

4.4人力资源部：负责通知IT部人事变更情况。

5程序

5.1权限分配

5.1.1系统内操作人员权限分配由系统管理员负责。

5.1.2计算机系统密码主要分为超级用户密码（特权密码）和普通用户密码。

5.1.3操作系统密码、超级用户密码、数据库、等由技术经理，系统管理员，数据库管理员分段管

理，不能随意下放给一般工作人员。

5.1.4各单位计算机操作系统必须按授权人数设置用户，并分别由操作人员本人设置和保管密码。

其中管理员（Administrator）密码由系统管理人员设置并保管。

5.1.5操作员必须一人一码，严禁多人一码或一人多码。

5.2权限调整

因工作需要，确需对权限分配进行调整的，必须由申请人提出申请，说明调整原因，明确调整

范围，经领导签字同意并履行书面手续后，方可由系统管理员进行调整。

5.3终端安全

5.3.1操作员必须一人一码，严禁多人一码或一人多码。

5.3.2操作人员必须在第一次进入系统时自行设置安全可靠的密码并妥善保管。操作人员以本人身

份进入系统后，在退出系统之前不得离开操作台。密码因设置、保管不善而造成事故，责任

自负。

5.3.3操作人员设置的密码长度不得短于8位，组成密码的字符类型必须包含数字、大写字母、小

写字母、特殊符号等复杂组合，不得采用电话号码、身份证号码、出生年月日等有特殊意义

的代码，也不得采用诸如000、AAA、123456等不安全密码。

5.3.4任何人不得非法获取、更改、删除、泄漏各种密码。

5.4密码恢复

5.4.1当因用户密码遗忘、或其他原因需修改密码必须由用户责任人本人提出申请。

5.4.2用户密码恢复申请通过部门领导审批。

5.4.3用户密码恢复申请通过IT部经理审批后授权系统管理员执行密码恢复操作。

5.4.4系统管理员完成密码恢复后通知用户申请人修改后的新密码并归档密码恢复申请表。

6相关文件

《XX信息安全管理制度2013年11月10日.doc》

7表格及记录

无

8流程图

无