007江西中磊支付平台用户和密码管理规定(2)

1、江西中磊支付科技有限公司 密级：内部江西中磊支付平台用户和密码管理规定文档编号：V1.0项目名称： 江西中磊支付平台编写：杨文辉编写日期：2014-5-9审核：李骏审核日期：2014-6-13批准：朱志龙批准日期：2014-6-17江西中磊支付科技有限公司2014年6月江西中磊支付科技有限公司江西中孫支付平台用户和密码管理规定2版本控制信息版本日期拟稿和修改说明草稿2014-5-9VI. 02014-6-17正式签发文档江西中磊支付科技有限公司江西中孫支付平台用户和密码管理规定3江西中磊支付平台用户和密码管理规定第一章总则第一条 为了加强江西中磊支付平台用户和密码的管理，确 保江西中磊支付平台

2、安全、可靠、稳定运行，根据国家计算机信 息系统安全保护条例等相关管理规定，特制定本规定。第二条江西中磊支付平台各类用户是通过用户名和密码 这对用以识别用户合法身份的标识符，登录到相应信息系统中进 行相关的操作。加强用户和密码管理是有效防止对江西中磊支付 平台运行中的信息系统进行非法访问、操作，保证信息系统安全 可靠运行的重要安全措施。第三条 本规定适用于江西中磊支付平台各类应用系统的 用户和密码管理。第二章信息系统用户的管理第四条 江西中磊支付平台上线运行的信息系统的用户可 分为系统管理员、应用维护管理员和一般操作人员。系统管理员指的是信息系统所使用的操作系统、网络与数据 库的管理人员。应用维

3、护管理员指的是信息系统应用软件和应用数据的管 理与维护人员。江西中磊支付科技有限公司江西中孫支付平台用户和密码管理规定4一般操作人员指的是使用预先编好的程序进行操作的人员。第五条 江西中磊支付平台各类用户的管理应遵循“权限分 散，不得交叉覆盖”的原则。系统管理员不得参与软件开发和应 用数据管理维护，不得兼任一般操作人员；应用维护管理员不得 兼任系统管理员或一般操作人员。第六条对信息系统用户的建立和变更，应先报送技术部负 责人批准，并在技术部备案。第七条信息系统各用户调离原岗位时， 必须办理有关材 料、 档案、软件和用户密码的交接手续；接替人员应认真接管移 交工作，确保移交质量。交接结束后，接替

4、人员应重新设置密码 后方可开始工作。第八条信息系统的系统管理员职责为：（一）负责信息系统软件、硬件、网络、数据库的安装、调 试与技术支持，保障信息系统的正常运行。（二）掌握网络交换机、 路由器、 防火墙及数据库的超级密 码，负责主机、服务器的软硬件资源分配，监控网络、主机和数 据库的运行。（三）掌握系统管理员权限，按照有关要求，为操作人员分 配使用权限，对信息系统数据进行严格的安全管理。（四）管理、指导操作人员进行系统的备份和恢复。第九条信息系统的系统管理员应具有很强的工作责任心， 坚持原则，遵纪守法，恪尽职守，并保持相对稳定。第十条 信息系统应用维护管理员的职责为：江西中磊支付科技有限公司江

5、西中孫支付平台用户和密码管理规定5（一）对应用系统的运行进行监控，诊断、处理运行过程中 各类突发故障。（二）根据江西中磊支付平台生产系统应用软件上线测试规程，参与或监督应用软件的上线测试。（三）定期对生产系统的历史数据、 主机日志及文件系统进 行维护处理。（四）根据江西中磊支付平台生产系统帐户数据修改规程，实施计算机运行单位负责人批准后的帐户数据修改。（五）根据相关业务部门的申请， 实施或指导一般维护操作 人员进行业务数据的分析提取工作。第十一条外单位维护人员对江西中磊支付平台进行现场 或远程维护时，必须经本单位技术部负责人批准，江西中磊支付 平台系统管理员和应用维护管理员必须进行现场监督。第

6、十二条江西中磊支付平台软件开发人员（或软件开发 商）在开发信息系统的设计阶段应考虑运行安全的管理需求和信 息系统的安全设计，访问数据库的用户名和密码不能固化在应用 软件中或直接写在数据库中，用户名和密码不得以明文的形式存 放在配置文件或注册表中。第十三条 在信息系统开发过程中，江西中磊支付平台软件 开发人员（或软件开发商）不得使用系统管理员用户进行管理和 运行信息系统。江西中磊支付科技有限公司江西中孫支付平台用户和密码管理规定6第十四条 信息系统软件开发人员在信息系统移交过程中， 必须向技术部提供关于该系统的安全设计文档和用户、密码的配 置方案，并由计算机运行部门设定信息系统用户和密码，方可上

7、 线运行。第十五条信息系统正式上线后，严禁软件开发人员作为或 冒用数据库管理员访问数据库。第十六条 非核心类业务系统运行期间出现异常，需要软件 开发人员（或软件开发商）进行维护时，原则上要求到现场处理, 一般不得远程维护。确需远程维护时，必须经本单位技术运维和 技术研发部门负责人批准后，由计算机运行部门提供临时用户和 密码，软件开发人员（或软件开发商）使用临时用户登录主机进 行维护。如需修改数据或系统配置，应由计算机运行部门的应用 维护管理员完成。远程维护结束后，计算机运行部门应立即恢复 或修改原用户密码。第十七条 信息系统一般操作人员的职责为：（一）遵守江西中磊支付平台的各项信息安全规章制度

8、， 严 格执行江西中磊支付平台操作规程和运行安全管理制度。（二）接受系统管理员的指导， 在自己的权限范围内从事信 息系统的各种具体业务操作或日常维护工作。（三）不得向他人提供自己的操作密码。（四）及时向系统管理员报告系统各种异常事件。第三章信息系统密码的设置和管理第十八条信息系统密码的设置应遵循如下原则：江西中磊支付科技有限公司江西中孫支付平台用户和密码管理规定7（一）密码长度应不少于6位。生产系统密码长度应不少于8位。（二）密码应由大小写字母、数字以及特殊符号等字符组成。（三）密码的字母部分不得与用户名相同（四）不得使用姓名、电话号码、生日、地址等个人信息以 及任何有意义的短语（如汉语拼音、

9、常用单词、常用命令等）作 为密码。（五）密码应定期更改。第十九条信息系统密码不得以任何形式存放于可公共访 问的设备中，生产系统密码必须定期或不定期更换，更换时间不 得超过三个月。第二十条生产系统重要数据的修改应实行密码分段或分 级管理。第二十一条生产系统密码（含备份密码）的保管应实行专 人专柜管理。保险柜应存放在计算机机房内有录像监控的区域， 备份密码必须用保密信封封存备用。第二十二条与信息系统密码管理无关的人员不得研读或 拷贝所有与密码有关的标准文件。第二十三条对停用的密码必须定期清理和销毁，该种密码的清理和销毁按照江西中磊支付平台计算机运行中心用户和密 码管理实施细则有关密件销毁相关规定执

10、行。第四章管理要求和责任处理第二十四条信息系统的用户和密码管理工作， 必须做到分 工明确、责任清楚、操作规范、科学管理，确保信息系统的安全 运行。严禁违章变更、修改或向无关人员泄露密码，严禁越权操 作。江西中磊支付科技有限公司江西中孫支付平台用户和密码管理规定8第二十五条如发现伪造、泄露信息系统密码或其他重要信 息等情况发生，应迅速查明情况和责任人，立即釆取补救措施, 并及时上报上级领导和有关部门。第二十六条 不同权限的用户应严格保密，妥善保存自己的 用户密码。如出现由于用户密码保管不善、使用不当等原因，造 成系统中断或被非法访问、数据泄密及被修改的；伪造、泄露密 码造成江西中磊支付科技有限公

11、司利益重大损失和严重后果的， 各单位必须根据信息系统安全保密相关责任处理规定，追究直接 责任人的责任和相关领导的领导责任。第二十七条涉及信息系统用户和密码的管理， 必须实施痕 迹管理；信息系统用户和密码的操作必须进行登记，以备检查。第五章附则第二十八条 本规定由江西中磊支付科技有限公司技术部负责解释。第二十九条本规定自下发之日起施行。附件江西中磊支付平台计算机运行中心用户和密码管理实施细则第一条 加强江西中磊支付平台计算机运行中心（以下简称 运行中心）内部风险控制管理，有效防范事故和防止计算机犯罪 的发生，根据江西中磊支付平台运行管理有关规定和江西中磊 支付平台用户和密码管理规定，结合运行中心

12、信息系统的具体情 况，特制定本实江西中磊支付科技有限公司江西中孫支付平台用户和密码管理规定9施细则。第二条密码设置运行中心机房内所有生产主、备机、生产前置机以及网络系 统等各类密码初始设置由各自的密码管理员向技术部负责人报批 后执行。设置时应注意以下四点：一是严禁生产用机不设密码，任人使用；二是设密时应英文字母与数字混用，使之具有较强的保密 性；三是在设密过程中不得留下除密码正本外的其它纸质痕迹， 以防泄密；四是定期更换密码，至少每两个月更换一次。第三条密码保管密码保管应做好以下几项：（一）保管各类密码（含备份密码）应使用保险柜，保险柜 应存放在机房内有录像监控的区域。（二）运行中心设立 江西

13、中磊支付平台生产系统密码管理 登记簿，用于管理已用保密信封封存的备份密码。（三）各类密码由各自的管理人员复制一份作备份， 用保密 信封封存后，交送运行中心保存，并进行江西中磊支付平台生 产系统密码管理登记簿的登记工作。（四）各类密码（含备份密码）应严格管理，各类密码的管 理人员严禁将密码泄露他人。江西中磊支付科技有限公司江西中孫支付平台用户和密码管理规定10第四条密码使用为保障信息系统稳定、安全、高效运行，对密码的使用应严 格执行以下规定：（一）有关生产主机系统数据库操作（只读除外）、生产主 机关键系统参数修改的密码使用，其审批权归技术部负责人；有 关生产系统各类前置机开、关机操作，网络系统参

14、数调整的密码 使用，其审批权归技术部负责人；有关信息系统各类应用软件维 护的密码使用，其审批权归技术部负责人。（二）密码使用时，执掌密码的人员必须坚守现场，严格审 查操作过程，阻止与密码使用申请无关的现场操作。（三）维护完毕， 操作者必须在相应的操作登记表上对操作 做详细记录，并由密码执掌者共同确认后分别签字以示负责。操 作登记表由生产运行处归类进行管理。（四）密码管理人员因工作需要或无法抗拒等原因无法履行 密码使用义务时，必须报经相应权限负责人批准后，委托指定人 员代为使用密码。密码管理人员回来后须在有关手续上补签以示 确认，并尽快更改有关密码。第五条密码修改运行中心机房内所有生产主、备机、生产前置机以及网络系 统等各类密码的修改由各自的密码管理员进行，至少每两个月更 换一次。密码修改的相关要求与密码的初始设置要求相同，修改 后密码管理员江西中磊支付科技有限公司江西中孫支付平台用户和密码管理规定11应将新密码的备份保密信封封存，交送运行中心生 产运行处保管，并进行江西中磊支付平台生产系统密码管理登 记簿的登记工作。第六条