XX期货有限公司帐户权限及口令管理办法.doc

XX期货有限公司帐户权限及口令管理办法 总 则 为保障公司信息系统可靠运行，构建安全的IT运维环境，明确管理职责，规范操作行为，依据《XX期货有限公司信息安全管理制度》，制定本管理办法。 本管理办法适用于公司总部及各分支机构。 账户管理 技术部门负责生产系统环境的各类网络、主机、数据库等系统的账户权限管理，业务应用系统的账户权限管理由XX部负责。 应有专人负责账户权限管理工作，其工作范围包括跟踪各类账户权限的分配、更改和相关口令管理，并对相关文档进行维护。 应制定帐户权限申请、变更和注销的管理流程，加强对帐户权限的管理，及时清除不必要的帐户。 由供应商安装或部署的系统上线时，其账户及口令应交由技术部门相关岗位接管，接管人应立即验证并修改所有缺省账户和口令。 应避免使用超级管理员账户完成日常操作，拥有超级用户权限的管理员应建立普通账户用于日常维护。 生产环境内关键系统应当建立账户与权限的对应关系表，该关系表应由权限管理相关责任人妥善维护。 严禁使用他人账户登录系统。调整岗位时应及时变更人员账户和权限，更新对应关系表。 权限管理 权限的申请和授予应遵循最小授权原则。 账户权限申请人填写《账户权限申请表》（见附件一），由本部门负责人和公司权限管理部门审批并设置。 员工岗位发生变更，需要及时修改对应系统的账户和权限，必要时重新按照流程申请新的权限。 员工离职后应及时注销该员工使用的帐户。 口令管理 口令的设置应遵守下列规定： 所有的生产环境系统的账户都必须设置口令； 口令应有一定的复杂度，不应使用电话号码、生日等作为口令，避免使用包含用户账户的组合或有规律的数字或字母； 在设置口令时应尽可能使用高强度口令； 重要系统账户的口令应定期更新。 口令的保存应遵守下列规定： 所有书面方式保存的口令应有安全的物理保护措施； 以明文方式存放口令的计算机及相关设备应放置于有出入控制的操作间内。 口令的使用应遵守下列规定： 员工的个人口令（如个人使用的PC机口令）与所管理的业务系统口令（主机、设备及应用系统口令）必须严格区别，应避免使用相同的个人口令和业务系统口令； 禁止使用未加保护的传输方式如明文邮件等传输用户口令，防止口令在传输过程中泄露。 监督和审计 XX 部门负责监督本管理办法的落实情况，对违反本管理办法或执行不力的行为应提出整改意见，要求限期纠改，并跟踪其落实情况。 附 则 本办法由信息技术部制定并负责解释和修订。 本办法自发布之日起执行。 附件一、帐户权限申请表 申请人资料 姓名: 部门及岗位： 日期： 申请开通的权限 权限审批人意见 签字： ________________ 日期： _________________ 相关系统管理员设置帐户权限情况 □ 设置完成 签字： ________________ 日期： _________________ 签字： ________________ 日期： _________________ 签字： ________________ 日期： _________________ 权限管理员审核及归档情况 □ 审核通过 □ 已更新帐户权限关系表并归档 签字： ________________ 日期： _________________ 附件二 账户权限关系表 网络权限 权限 角色名 角色ID 岗位 用户 管理资源（概要） 备注 管理员 只读 主机权限 权限 角色名 角色ID 岗位 用户 管理资源（概要） 备注 管理员 部分 操作 网管、监控、安全、应用权限 权限 角色名 角色ID 岗位 用户 管理资源（概要） 备注 管理员 只读 监控员