一、总则
(一)编制目的
为了加强忠进信息系统规范化管理,防止各系统用户、口令、权限设置不当给信息系统带来的危害,保障信息系统的安全运行。
(二)适用范围
本办法适用于忠进各信息系统。
二、职责
各信息系统使用部门设置系统管理员岗位(可兼职),对信息系统用户、口令、权限进行统一管理。具体职责如下:
1.严格用户分配管理,并按照最小安全访问原则,按照业务需要为各类用户分配相关权限。
2.根据业务需要对信息系统中用户及权限进行及时调整。
3.对信息系统中各类用户、权限进行登记,并形成记录。
4.对信息系统各种用户、权限情况进行日常检查,对存在隐患及时补救。
5.定期更改所管理的用户口令并督促其它用户的使用者更新口令。
6.在得到部门负责人的同意后对信息系统中各类超级权限用户的口令进行修改,并整理汇总后交网络安全和信息化领导小组保管。
7.及时清理各系统中停止使用的帐户及权限。
三、口令设置要求
1.操作系统用户、数据库系统用户、网络设备、应用程序用户必须设置口令。
2.主要业务服务器操作系统管理员账号、主要网络设备用户口令、数据库管理员账号、应用系统用户口令、交易系统超级用户口令长度应在12 位以上。
3.各用户口令的设置不可相同,须同时包含字母大小写、数字、以及其它字符,不能使用字母、字符的口令除外。不得使用用户名和部分用户名作为口令,不得以生日、电话等作为口令,系统有特殊规定的除外。
四、用户、口令、权限的管理
1.各系统中不得保留系统匿名访问用户。
2.除各系统中自有的用户外,如需要建立其他用户,应由使用者向网络安全和信息化领导小组提出申请,经批准后给予设置。
3.管理员应保守机密,不得将用户口令透露给他人。
4.核心操作系统、数据库管理员及应用系统超级用户口令每半年必须更新;其它系统口令应至少每三个月更新一次。
5.管理员应提醒应用系统操作人员保存好自己的口令,并按口令设置要求定期修改。
6.建立与应用系统超级用户权限相仿的用户进行日常维护工作,应减少超级用户的使用。
7.管理员离职时,应将其管理的用户、口令交给其下任管理员,并有义务保证交接时系统的正常运行,新任管理员应及时更改口令。
8.系统操作人员离职时,系统管理员应及时将其使用的用户注销,并修改相应记录。
9.所有口令修改应进行登记,由操作人、部门负责人签字确认,相关纸制表格上报网络安全和信息化领导小组。
10.如个别系统无法更换某些用户的密码,或更换密码后会对应用造成较大的影响,这些用户的密码可以不进行更换,但必须加强管理,专人保管不得泄露。