新华社-2016-016移动新媒体聚合管理系统密钥安全及密码管理规范.docVIP

新华通讯社山西分社 移动新媒体聚合管理系统 密钥安全及密码管理规范 文件编号： 版： ： 版本记录 版本号 版本日期 修改 审核 批准 修改  目录 密钥安全账号口令权限管理规范 4 1 总则 4 1.1 目的 4 1.2 范围 4 1.3 职责 4 2 管理细则 4 2.1 密钥发放适用人员 4 2.2 密钥、账号口令申请 4 2.3 密钥的设置 5 2.4 密钥发放流程 5 2.5 密钥使用保管规定 5 2.6 密钥回收规定 5 2.7 用户注册 5 2.8 权限管理 6 2.9 口令的选择 6 2.10 口令管理和使用 7 2.11 用户访问权限检查 8 2.12 帐号删除流程 8 移动新媒体聚合管理系统密钥发放回收记录表（附表2） 9 密钥安全账号口令权限管理规范 总则 目的 为加强移动新媒体聚合管理系统密码、密钥安全、账号口令和权限管理，保证在密钥申请、发放、使用、账号口令的权限设置等过程中的安全，特制订本管理规范。 范围 本规范适用于移动新媒体聚合管理系统对密钥的申请、发放、登记、账号口令和权限设置以及保管的管理。 职责 信息技术部门负责密钥、账号、口令的发放管理； 信息技术部门部门经理负责密钥、账号口令、权限设置的发放申请的批准。 管理细则 密钥发放适用人员 密钥 一自然人对应一个系统账号，以便将用户与其操作联系起来，使用户对其操作行为负责。 用户因工作变更或离开单位时，管理员要及时取消或者锁定该用户所有账号，对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避风险。 系统管理员应定期检查并取消多余的用户账号。 权限管理 信息技术部门系统管理员负责分配新用户系统权限，负责审批用户权限变更申请是否与信息安全策略相违背。 特权用户必须按授权程序通过系统等部门主管批准，才可给予相应的权限。 系统管理员应保留所有特权用户的授权程序与记录。 权限设定要明细化，尽可能减少因拥有的权限化分较粗带来的不正当信息访问或误操作等现象的发生。若某些权限无法细分，则需加强对用户的单独监控。 只有工作需要的信息访问要求，才可授权。每个人分配的权限以完成本岗位工作最低标准为准。 系统管理员对分配的所有权限记录进行维护。不符合授权程序，则不授予权限。 对于单位以外的用户，需要访问内部资源时，需要由用户的接待者申请为其办理授审批程序。 口令的选择 口令的选择应参考以下规则： 口令长度8位以上、复杂度大写字母、小写字母、数字、特殊字符两种以上混口令定期更换，一般一季度更换一次，也可适当拉长，但周期不要超过半年不可多人共用同一帐号，为不同的使用人员配置各自的帐号，且权限为最小赋权临时帐号需明确有效期，并定期具有专人进行清理 口令管理和使用 员工应了解进行有效访问控制的责任，特别是口令使用和员工设备安全的责任； 员工应保证口令安全，不得向其他任何人泄漏。对于泄漏口令向造成的损失，由员工本人负责； 不要共享个人口令； 应避免在纸上记录口令，或以明文方式记录计算机内； 不要在任何自动登录程序中使用口令，如在宏或功能键中存储； 用户忘记口令时，管理员必须在对该用户进行适当的身份识别后才能向其提供临时口令； 常规情况下，用户自主口令至少每季度更改一次，系统口令可半年更改一次，且避免再次使用旧口令或循环使用旧口令； 允许用户选择和变更他们自己的口令，并且包括确认程序，以便考虑到输入出错的情况； 在第一次登录时强制用户变更临时口令； 存储口令文件的存储应和系统数据相分开，并采用安全方式存储和传输口令（例如加密或哈希）。 用户访问权限检查 定期检查用户的账号及其权限，保留检查记录； 重点检查有特权的账号，是否存在特权使用期限过期。 帐号删除流程 账号口令管理员定期（半年）对现有账号、口令进行清理，发现有超过6个月未登录/使用的账号对其禁用，期间账户所有者可申请账号的重新启用，禁用的账号将保存6个月，若仍未启用将进行删除操作。 附件 移动新媒体聚合管理系统密钥发放回收记录表（附表2） 申请时间 申请人/单位 密钥ID 密钥权限 领取时间 归还时间 领取人签名 管理员签名