证券股份有限公司公司系统帐号口令及权限管理规范模版.docVIP

PAGE / NUMPAGES 系统帐号、口令及权限管理规范 总则 为规范**证券系统管理层面的访问监控管理，加强系统账号、口令、审批、授权等方面的管理，依据有关有关政策制度和《**证券股份有限公司信息系统运维管理制度》，拟定本规范。 本规范适用于信息技术部所有信息系统及网络设备的访问监控管理活动。 账号、系统账号：信息系统中的特定身份标识，一般对应到一个使用信息系统的用户或者处理程序。权限：账号在信息系统中执行相应操作的权力。 管理办法 访问监控总体要求 每个系统必须有系统管理人员进行账号与权限管理，所有系统账号的增加、变更（帐号密码变更除外）、删除必须经授权后统一实施操作，其它人员不得擅自进行系统账号的增加、变更（帐号密码变更除外）、删除等操作。 系统必须明确各系统账号、权限分类、及对应的用户等信息。 所有用户以及权限的设置和变更由双人进行，一人进行设置，一人进行复核 各系统在不影响运行效率的前提下应开启系统安全日志功能，能够记录系统的登录和访问时间、操作内容。 创建账号、变更账号以及撤销账号的过程中，都要经过严格的审批流程，并对处理流程留档。 确保系统帐号的唯一性，使每个账号在某个特定时间只能被一个用户拥有。 使用其它技术手段确保用户在系统上的操作可以追溯到详细操作人员。 依据有关最小权限和职责分离原则，对系统账号进行分类，依据有关用户实际工作的需要按最小权限原则进行授权，确