账号密码及权限管理制度.doc

.XXXX公司账号密码及权限管理制度1 总则1.1 目的为加强公司信息系统账号和密码管理，通过控制用户密码、权限，实现控制访问权限分配，防止对公司网络的非授权访问，特制订本管理办法。1.2 范围所有使用本公司网络信息系统的人员。1.3 职责公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。1.4 术语和定义内部网络：是指在本公司内部所有客户端等组成的局域网。包括但不限于OA系统以及数据库系统等。2 控制内容1231.1 用户注册n 新用户必须加入域，否则不允许入网。n 域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名原则为职工工号。n 一自然人对应一个系统账号，以便将用户与其操作联系起来，使用户对其操作行为负责。n 用户因工作变更或离开公司时，管理员要及时取消或者锁定该用户所有账号，对于无法锁定或者删除的用户账号采用更改密码等相应的措施规避风险。n 系统管理员应定期检查并取消多余的用户账号。1.2 权限管理n 行政部系统管理员负责分配新用户系统权限，负责审批用户权限变更申请是否与信息安全策略相违背。n 特权用户必须按授权程序通过系统等部门主管批准，才可给予相应的权限。n 系统管理员应保留所有特权用户的授权程序与记录。n 权限设定要明细化，尽可能减少因拥有的权限化分较粗带来的不正当信息访问或误操作等现象的发生。若某些权限无法细分，则需加强对用户的单独监控。n 只有工作需要的信息访问要求，才可授权。每个人分配的权限以完成本岗位工作最低标准为准。n 系统管理员对分配的所有权限记录进行维护。不符合授权程序，则不授予权限。n 对于本公司外的用户，需要访问本公司内部资源时，需要由用户的接待者申请为其办理授审批程序。1.3 密码的选择密码的选择应参考以下规则：n 最少要有8个字符，必须由字母、数字、大小写以及特殊字符组成。n 不要使用别人通过个人相关信息（如姓名、电话号码、生日等）容易猜出或破解的密码。1.4 密码管理和使用n 员工应了解进行有效访问控制的责任，特别是密码使用和员工设备安全的责任；n 员工应保证密码安全，不得向其他任何人泄漏。对于泄漏密码向造成的损失，由员工本人负责；n 不要共享个人密码；n 应避免在纸上记录密码，或以明文方式记录计算机内；n 不要在任何自动登录程序中使用密码，如在宏或功能键中存储；n 用户忘记密码时，管理员必须在对该用户进行适当的身份识别后才能向其提供临时密码；n 常规情况下，用户自主密码至少每季度更改一次，系统密码可半年更改一次，且避免再次使用旧密码或循环使用旧密码；n 允许用户选择和变更他们自己的密码，并且包括确认程序，以便考虑到输入出错的情况； n 在第一次登录时强制用户变更临时密码；n 存储密码文件的存储应和系统数据相分开，并采用安全方式存储和传输密码（例如加密或哈希）。1.5 用户访问权限检查n 定期检查用户的账号及其权限，保留检查记录；n 重点检查有特权的账号，是否存在特权使用期限过期。1.6 域帐号建立流程新建账号由个人或使用人提交申请单，经部门领导、行政部领导审批确认后，由行政部指定专人进行账号开通、权限配置工作，并反馈申请人配置结果。1.7 帐号删除流程域管理员定期（半年）对现有AD账号进行清理