公司账号口令和权限管理制度.docx

账号和口令权限管理 文档信息 制度编号： 生效日期： 分发范围： 解释部门： 版次：Verl.1 页数： 制定人： 审核人： 批准人： □传阅 区 阅后执行并存档 区保密 保密等级 内部公开 版本记录 版本号 版本日期 修改者 说明 文件名 账号口令和权限管理 账号口令和权限管理 宁夏国博新能源有限公司 账号口令和权限管理 1 总则 1.1 目的 为加强宁夏国博新能源有限公司信息系统账号和口令管理，通过控制用户 口令、权限，实现控制访问权限分配，防止对宁夏国博新能源有限公司网络的非 授权访问，特制订本管理办法。所有密码管理措施均符合相关国家标准和行业标 准。 1.2 范围 所有使用宁夏国博新能源有限公司网络信息系统的人员。 1.3 职责 宁夏国博新能源有限公司所有使用信息系统的人员均需遵守本管理办法规定， 信息中心负责建立账号和口令管理的规范并推动执行、审核和检查落地执行情况。 账号和口令权限管理 1.4 术语和定义 内部网络：是指在宁夏国博新能源有限公司内部所有客户端等组成的局域网。 包括但不限于数据库系统等。 2 控制内容 2.1 用户注册 ■ 新用户必须经网络管理员授权接入，否则不允许入网。 ■ 用户账号由网络管理员在该用户上岗使用宁夏国博新能源有限公司网 络系统前建立，命名原则为职工工号。 ■ 一自然人对应一个系统账号，以便将用户与其操作联系起来，使用户对 其操作行为负责。 ■ 用户因工作变更或离开宁夏国博新能源有限公司时，管理员要及时取消 或者锁定该用户所有账号，对于无法锁定或者删除的用户账号采用更改 口令等相应的措施规避风险。 ■ 系统管理员应定期检查并取消多余的用户账号。 2.2 权限管理 ■ 信息中心系统管理员负责分配新用户系统权限，负责审批用户权限变更 申请是否与信息安全策略相违背。 ■ 特权用户必须按授权程序通过系统等部门主管批准，才可给予相应的权 限。 ■ 系统管理员应保留所有特权用户的授权程序与记录。 ■ 权限设定要明细化，尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分，则需加强对用户 的单独监控。 账号和口令权限管理 ■ 只有工作需要的信息访问要求，才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。 ■ 系统管理员对分配的所有权限记录进行维护。不符合授权程序，则不授 予权限。 ■ 对于宁夏国博新能源有限公司外的用户，需要访问宁夏国博新能源有限 公司内部资源时，需要由用户的接待者申请为其办理授审批程序。 2.3 口令的选择 口令的选择应参考以下规则： ■ 最少要有8个字符，必须由字母、数字、大小写以及特殊字符组成。 ■ 不要使用别人通过个人相关信息(如姓名、电话号码、生日等)容易猜 出或破解的口令。 2.4 口令管理和使用 ■ 员工应了解进行有效访问控制的责任，特别是口令使用和员工设备安全 的责任； ■ 员工应保证口令安全，不得向其他任何人泄漏。对于泄漏口令向造成的 损失，由员工本人负责； ■ 不要共享个人口令； ■ 应避免在纸上记录口令，或以明文方式记录计算机内； ■ 不要在任何自动登录程序中使用口令，如在宏或功能键中存储； ■ 用户忘记口令时，管理员必须在对该用户进行适当的身份识别后才能向 其提供临时口令； ■ 常规情况下，用户自主口令至少每季度更改一次，系统口令可半年更改 一次，且避免再次使用旧口令或循环使用旧口令； 账号和口令权限管理 原创力文档 原创力文档 预览与源文档一致，下载高清无水印 ■ 允许用户选择和变更他们自己的口令，并且包括确认程序，以便考虑到 输入出错的情况； ■ 在第一次登录时强制用户变更临时口令； ■ 存储口令文件的存储应和系统数据相分开，并采用安全方式存储和传输 口令(例如加密或哈希)。 2.5 用户访问权限检查 ■ 定期检查用户的账号及其权限，保留检查记录； ■ 重点检查有特权的账号，是否存在特权使用期限过期。 2.6 帐号建立流程 新建账号由个人或使用人提交申请单，经部门领导、信息中心领导审批确认 后，由信息中心指定专人进行账号开通、权限配置工作，并反馈申请人配置结果。 新进员工由管理员开 新进员工由管理员开 通帐号、分配权限 首次登录，强制修改 密码 N 修改成功 Y 自动关联内网邮件帐 号 联系管理员 2.7 帐号删除流程 管理员定期(半年)对现有账号进行清理，发现有超过6个月未登录/使用的 账号对其禁用，期间账户所有者可申请账号的重新启用，禁用的账号将保存6个 月，若仍未启用将进行删除操作。 账号和口令权限管理 原创力文档 原创力文档 预览与源文档一致下载高清无水印 管理员定期检查帐号 管理员定期检查帐号 N 多余帐号 Y 取消访问权限 删除帐号 员工离职通知管理员 3 附件 账号和口令权限管理