IT信息安全管理制度-2026-03-26.docxVIP

IT信息系统安全管理制度

文件编号：IT-SEC-001|版本：V1.0

第一章总则

第一条目的与范围

为加强企业IT信息系统安全管理，规范信息安全管理行为，保障企业信息系统安全稳定运行，防范信息安全风险，特制定本制度。

第二条基本原则

安全性原则：信息系统建设、运维必须优先考虑安全需求

最小权限原则：用户仅被授予完成工作所需的最小权限

责任到人原则：每个系统必须有明确的安全责任人

持续改进原则：定期评估安全状态，持续优化安全措施

第二章账户与权限管理

第三条账户申请与审批

员工入职后由部门负责人提交系统账户申请

账户申请须经过IT部门审核

禁止共享账户，所有操作必须使用个人账户

第四条权限变更与回收

员工岗位变动时，3个工作日内完成权限调整

员工离职时，最后一个工作日前完成账户注销

账户90天不使用应自动锁定

第三章密码管理

第五条密码复杂度要求

系统类型

最小长度

复杂度要求

普通系统

8位

字母+数字

重要系统

12位

大小写+数字+特殊字符

特权账户

16位

强制双因素认证

第六条密码更新要求

普通用户密码每90天强制更换

管理员密码每60天强制更换

密码历史记录不少于5次

第四章终端设备安全

所有终端必须安装企业统一配置的防病毒软件

终端必须启用全盘加密

终端系统必须开启自动更新

禁止使用未经IT部门批准的操作系统

第五章数据安全管理

第七条数