信息系统用户账号密码管理制度.docxVIP

信息系统用户账号密码管理制度 第一章 总则 第一条 目的 为加强 （以下简称“ 高速公路”）信息系统用户账号管理，规范用户账号的申请、使用和管理，提高用户账号的安全性，确保信息系统安全、有序、稳定的运行，特制定本制度。 第二条 适用范围 本制度中系统账号是指具有管理网络设备、安全设备、操作系统、数据库管理系统和应用系统的用户账号。 第三条 职责 根据中心信息系统各相关业务的信息管理工作要求，管理用户主要由收费部相关人员担任，职责规定如下： 负责网络设备、安全设备、主机系统（操作系统和数据库管理系统）和应用系统用户账号的管理工作； 负责上述账号申请和审批管理、安全管理和安全检查管理工作； 负责上述账号用户行为安全审计工作。 拥有用户账号的最高权限，负责信息系统运行维护的具体操作工作； 负责落实具体账号的生成、变更和删除/禁用操作事项。 第四条 应严格按照审批后的账号、权限维护和管理系统，按要求生成、变更和删除员工账号，并由收费部定期进行检查。 第二章 账号与密码管理 第五条 用户角色分类 根据各信息系统不同运维人员承担的角色不同，用户账号分为以下角色： 系统管理员：由收费部的人员担任，具有管理系统所有权限；根据各人员负责范围的不同，分为网络管理员、安全管理员、主机管理员和应用管理员等，详见《系统管理员用户角色分配表》； 临时管理账号：是指外部系统维护人员必须登录信息系统进行维护所需要的管理账号，根据维护需要赋予所需最小权限； 安全审计管理员：由 收费部系统安全负责人担任，具有能够查看系统的日志和审计信息。 第六条用户账号安全 用户账号标识应具有不易被冒用的特点，用户账号长度一般采用不少于6位的字符或字符加数字组合，禁止直接采用名字拼音、语言单词或同一字符等容易被冒用的用户账号； 根据系统运行维护服务单位需要，为系统运行维护单位分配用户账号，禁止不同运行维护单位相互间共享账号； 根据管理用户的运维角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限； 原则上，操作系统和数据库系统特权用户账号应由不同自然人担任，如只部署操作系统的情况除外； 严格限制默认账号的访问权限，禁止或重命名系统默认账号，如因实际需要，不能禁用或重命名的默认口令，应设置16位以上的字符、数字和特殊符号组合的强密； 外部系统维护人员采用临时账号登录管理时，必须有系统管理员全程监控。 第七条用户密码安全 密码在用户账号生成时自行设定，密码设定应满足以下要求： a) 密码长度：必须为12位（含）以上； b) 密码复杂度：密码复杂度由大小写字母、数字，以及特殊字符混合使用，例如：hnsmztxxzx!@#123； c) 修改系统默认密码，禁止使用系统默认密码进行登录管理； d) 禁止使用名字拼音、语言单词等易于被破解的字符串设置密码； 密码定期每半年进行更换； 所有系统集成商在施工期间设立的缺省密码在系统投入使用之前都要删除； 密码必须以密文方式存储于网络设备、主机系统和应用系统中； 禁止以明文的方式通过手机短信、电子邮件或者其它网络途径传输用户密码信息； 若发现用户账号密码泄露，账号使用者应立即报告信息系统负责人及时采取禁用或删除账号措施，将危害程度降到最低，并在24小时内提交书面报告，说明详细情况。 第八条用户权限管理 用户账号系统应根据“最小授权”的原则设定账户访问权限，控制用户仅能够访问到工作需要的信息。 各系统应该设置审计用户的权限，审计用户应当具备比较完整的读权限，审计用户应当能够读取系统关键文件，检查系统设置、系统日志等信息。 除了审计账号外，其他用户账号不能对信息系统进行审计； 所有账号不能对审计日志进行删除、修改或覆盖等。 第九条用户账号登记管理 各系统安全负责人，应负责各自管辖范围内的所有用户账号和密码进行登记记录管理，形成《信息系统管理账号登记表》。 第十条用户账号安全检查 各系统安全负责人，每季度负责对所管辖范围内的用户账号和密码进行安全检查，检查内容主要包含以下几个方面： 系统中是否存在默认账号或默认密码； 用户情况是否和信息安全管理部门备案的用户账号权限情况一致； 是否存在非法账号或者长期未使用账号； 是否存在弱口令账号。 检查完成后，形成《用户账号/密码检查记录表》，对于存在不符合用户账号安全和用户密码安全规定的，必须在3个工作日内完成整改工作。 第三章 附则 第十一条本制度由 收费部负责解释并督促执行； 第十二条本制度自印发之日起实行。