XX期货有限公司帐户权限及口令管理办法

1、XX期货有限公司帐户权限及口令管理办法第一章 总 则第一条 为保障公司信息系统可靠运行，构建安全的IT运维环境，明确管理职责，规范操作行为，依据XX期货有限公司信息安全管理制度，制定本管理办法。第二条 本管理办法适用于公司总部及各分支机构。第二章 账户管理第三条 技术部门负责生产系统环境的各类网络、主机、数据库等系统的账户权限管理，业务应用系统的账户权限管理由XX部负责。第四条 应有专人负责账户权限管理工作，其工作范围包括跟踪各类账户权限的分配、更改和相关口令管理，并对相关文档进行维护。第五条 应制定帐户权限申请、变更和注销的管理流程，加强对帐户权限的管理，及时清除不必要的帐户。第六条 由供应

2、商安装或部署的系统上线时，其账户及口令应交由技术部门相关岗位接管，接管人应立即验证并修改所有缺省账户和口令。第七条 应避免使用超级管理员账户完成日常操作，拥有超级用户权限的管理员应建立普通账户用于日常维护。第八条 生产环境内关键系统应当建立账户与权限的对应关系表，该关系表应由权限管理相关责任人妥善维护。第九条 严禁使用他人账户登录系统。调整岗位时应及时变更人员账户和权限，更新对应关系表。第三章 权限管理第十条 权限的申请和授予应遵循最小授权原则。 第十一条 账户权限申请人填写账户权限申请表（见附件一），由本部门负责人和公司权限管理部门审批并设置。第十二条 员工岗位发生变更，需要及时修改对应系统

3、的账户和权限，必要时重新按照流程申请新的权限。第十三条 员工离职后应及时注销该员工使用的帐户。第四章 口令管理第十四条 口令的设置应遵守下列规定：（一） 所有的生产环境系统的账户都必须设置口令；（二） 口令应有一定的复杂度，不应使用电话号码、生日等作为口令，避免使用包含用户账户的组合或有规律的数字或字母；（三） 在设置口令时应尽可能使用高强度口令；（四） 重要系统账户的口令应定期更新。第十五条 口令的保存应遵守下列规定：（一） 所有书面方式保存的口令应有安全的物理保护措施；（二） 以明文方式存放口令的计算机及相关设备应放置于有出入控制的操作间内。第十六条 口令的使用应遵守下列规定： （一） 员

4、工的个人口令（如个人使用的PC机口令）与所管理的业务系统口令（主机、设备及应用系统口令）必须严格区别，应避免使用相同的个人口令和业务系统口令；（二） 禁止使用未加保护的传输方式如明文邮件等传输用户口令，防止口令在传输过程中泄露。第五章 监督和审计第十七条 XX 部门负责监督本管理办法的落实情况，对违反本管理办法或执行不力的行为应提出整改意见，要求限期纠改，并跟踪其落实情况。第六章 附 则第十八条 本办法由信息技术部制定并负责解释和修订。第十九条 本办法自发布之日起执行。附件一、帐户权限申请表申请人资料姓名: 部门及岗位： 日期： 申请开通的权限权限审批人意见签字： _ 日期： _相关系统管理员设置帐户权限情况 设置完成签字： _ 日期： _签字： _ 日期： _签字： _ 日期： _权限管理员审核及归档情况 审核通过 已更新帐户权限关系表并归档签字： _ 日期： _附件二 账户权限关系表网络权限权限角色名角色ID岗位用户管理资源（概要）备注管理员只读主机权限权限角色