账号、口令及权限管理办法范文

《XXXX安全管理制度汇编》**

账号、口令及权限管理办法**

目录**

编制说明 3**

第一章 总则 4**

第二章 组织职责 4**

第三章 账号管理规定 5**

第四章 口令、密码管理 7**

第五章 相关记录 10**

第六章 附则 10**

第一节 文挡信息 10

第二节 版本控制 10

第三节 其他信息 11

编制说明**

为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求，特制定本 制度 。

本 制度 依据我国信息安全的有关法律法规，结合 XXXX的自身业务特点 、并参考国际有关信息安全标准制定的。

《XXXX安全管理制度汇编账号、口令及权限管理办法》 规范了账号、口令及权限的使用，降低由于滥用、越权等威胁带来的风险。本制度包括三部分，“账号管理”规范账号角色和账号审计等；“密码、口令管理”规范密码长度、复杂度等；“权限管理”规范“最小授权”原则访问。

第一章 总则**

第一条 制度目标： 为了加强信息安全保障能力，建立健全安全管理体系，提高整体的网络与信息安全水平， 保证网络通信畅通和 业务 系统的正常运营，提高网络服务质量， 在安全体系框架下，本制度为加强职工对于系统账号、口令及权限的安全管理，规范账号、口令及权限的使用，降低由于滥用、越权等威胁带来的风险。

第二条 适用范围： 本 制度适用于TCP/IP网络和所承载的业务系统。

第三条 使用人员及角色职责： 本 制度 适用于 涉及运维的相关人员及使用IT 设备的职工。

第二章 组织职责

第四条 职工进行账号申请和审批应首先由职工所在部门负责初步审批，然后由运维部门根据主管领导审批意见和职工岗位，创建、变更和撤销职工的账号及权限。

第五条 系统负责部门应严格按照审批后的账号、权限维护和管理系统，按要求生成、变更和删除职工账号，并由信息安全工作组每季度进行检查。

第六条 运维主管领导

负责帐号分配和权限审批工作。

第七条 安全管理员

负责所有系统及设备超级管理员帐号管理工作，一般是指所有计算机系统，包括包括主机操作系统、数据库、关键业务和办公应用系统、网络设备及管理程序、网络安全设备及管理程序、加密设备和管理程序的超级管理员帐号或有超级管理员权限的帐号。负责系统管理帐号的创建、初始（密码）、变更（权限）、删除、禁止等操作，对系统管理员帐号及其它普通用户帐号的行为以及系统本身的安全性进行审计和调查取证。

第八条 安全审计员

（一） 负责信息安全审计的日常工作；

（二） 负责组织、计划定期的审计活动。

第九条 系统管理员

负责相关系统及设备管理的工作人员,包括： 安全设备管理员、网络管理员、主机系统管理员、数据库管理员、应用系统管理员。 一般是指所有计算机系统，包括主机操作系统、数据库、关键业务和办公应用系统、网络设备及管理程序、网络安全设备及管理程序、加密设备和管理程序的有管理普通用户和操作员帐号、设定普通用户和操作员访问许可、修改系统配置、安装系统组件等权限的帐号。

第十条 普通用户

（一） 拥有的有限操作权限的最终用户，负责完成日常工作。

（二） 普通用户根据帐号管理办法申请帐号，在帐号申请后，有义务保证帐号的安全，不能私自共享帐号。

（三） 普通用户对帐号的使用必需遵守帐号与口令管理的规定。

第三章 账号管理规定

第十一条 用户账户的创建

（一） 用户账号创建流程

1．普通用户和操作员帐号由具体用户向部门领导提出书面申请，然后交运维安全主管领导核准后，送交系统管理员具体实施帐号和密码的初始化程序，并登记备查，然后通知有关用户。

2．如果需要创建系统管理员帐号或是安全管理员帐号，则需要向安全管理员提出书面申请。经核实批准后，再由运维安全主管领导授权，才能实施帐号和密码的初始化程序，并登记备查。

3．所有的步骤（包括临时权限的授予和取消步骤），由系统的安全日志组件自动记录，安全审计员必须对相关帐号日志和帐号创建申请进行定期（每月一次）安全审计。

（二） 用户帐号创建的安全事宜

在创建用户帐号时，必须遵循下列安全规定：

1．严格限制创建公用用户帐号，且公用帐号不得具有访问敏感信息以及“写”和“执行”的系统权限。

2．用户帐号的权限设置应遵循“最小需要知道”原则，即给用户能完成工作的最小权限。

3．关闭任何缺省的匿名帐号。

4．系统开启对用户帐号、用户权限和登录管理的日志审计功能。

5．禁止使用空密码或与用户名相同的密码，作为初始密码。

6．系统管理员在通知用户初始密码时，必须采用加密或其他安全传输途径，以确保初始密码不会被中途截取。

7．系统管理员必须强制用户在第一次登录时，修改其初始密码。

8．严禁以任何明文形式传递和存放用户的初始密码。

9．因为项目原因，需要创建临时用户帐号时，则由项目负责人向所属台室主管领导提出书面申请，经由核准后，再由系统管理员统一创建（临时用户帐号的密码由项目负责人统一指定和保管）；并且严禁在生产系统中创建临时用户或测试用户。项目完成后，立即删除所有临时的用户帐号。

第四章 口令、密码管理**

第十二条 口令、 密码设置标准

第十三条 用户账户和密码保护

关于 用户帐号 和密码的保护，本管理制度做下列规定：

（一） 对于自动生成密码的系统，必须确保密码生成算法的可靠性和安全性以及密码生成“种子”的随机性。

（二） 用户严禁向任何人公开其本人或他人的帐号和密码的全部或部分，特别是拥有管理员权限或超级管理员权限的用户。

（三） 严禁以任何明文格式存储帐号和密码。

（四） 严禁通过公共网络（例如，互联网、公共电话网等），以明文格式传送帐号和密码。

（五） 系统管理员必须设定用户登录尝试的次数限制，对于信息安全管理员和系统管理员帐号，登录尝试次数为3次。对于普通用户和系统操作员帐号，登录尝试次数为5次。 一旦在一定时间内使用同一个用户帐号的失败登录超过限定次数，该帐号会被自动禁止，直到系统管理员重新激活该用户帐号。

（六） 系统管理员应当设定：在用户成功登录系统后，提示用户上次登录的情况（时间、登录名和登录成功与否等信息）。

（七） 系统管理员必须对存有用户帐号和密码的数据库和注册表进行严格的访问控制，严禁对其进行任何远程访问（只有信息安全管理员帐号才有“读”的权限）。

（八） 系统管理员必须在系统正式启用前，更改所有的系统缺省帐号的密码，并禁止所有匿名帐号。

（九） 系统管理员或信息安全管理员在发现任何企图非法使用某用户帐号的情况时，必须强制该用户更改密码。

（十） 系统管理员必须定期检查用户帐号使用情况，如有用户帐号在30天内没有使用，则有必要暂时禁止用户帐号（系统管理员帐号和信息安全管理员帐号例外）。

（十一） 系统管理员必须强制设定用户密码不得为空，并且符合有关密码强度规定。

（十二） 系统管理员必须开启系统内建的用户帐号、用户权限管理和登录管理的审计功能，并对其生成的日志文件进行妥善保管，以确保日志文件的安全性和完整性。

（十三） 安全审计员必须定期对用户帐号和密码的使用、变更、禁用、删除相关的系统日志文件连同相关书面申请文件进行安全审计（每月一次），并对所有相关文件进行记录备案。

（十四） 系统管理员必须定期（每月一次）对用户帐号进行清查工作，及时删除无用、无主的用户帐号。

（十五） 严禁以任何理由，使用他人帐号或操作卡访问计算机信息系统资源。

（十六） 严禁以任何方式获取他人帐号和密码。

（十七） 严禁在任何生产系统中创建临时用户或测试用户帐号。

（十八） 对于生产机和主数据库生产机的超级管理员密码必须分为两段，由信息安全管理员和相关的系统管理员二人分别掌管，二人同时在场方可实施本机登录。

（十九） 系统管理员帐号和密码，必须由安全管理员将其备份，经安全密封后，存放在保险柜中妥善保管；安全管理员帐号和密码，必须由运维安全主管领导将其备份，经安全密封后，存放在保险柜中妥善保管。

第五章 附则**

第一节 文挡信息**

第十四条 本制度由业务科技处制定，并负责解释和修订。 由信息安全工作组讨论通过，发布执行。

第十五条 本制度自发布之日起执行。

第二节 版本控制**

第十六条 对本 制度 所有修改 及审批、发布 都按时间顺序记录在此。

第三节 其他信息**

第十七条 本 制度 中所称的 人员角色职责由各部门人员分别担任，可能现有岗位的职工在不同时期所担任的角色不同，甚至身兼多种角色，这种情况下该职工应该履行所兼每种角色的安全职责。

第十八条 《XXXX安全管理制度汇编》 定义了 信息安全体系的整体结构、安全组织及各角色岗位的职责、以及覆盖各项安全内容的安全管理制度。 所有 职工 均应把 《XXXX安全管理制度汇编》 的规定作为信息安全工作的基本要求 ，其 内容一经颁布将在一定时间内长期有效，其涉及的所有部门或个人均需对其负责。