《帐号与密码管理规范.docx》由会员分享,可在线阅读,更多相关《帐号与密码管理规范.docx(6页珍藏版)》请在课桌文档上搜索。
1、修改状态日期修改原因及内容摘要修改人修改页码备注12022.06.01初版修改记录制定:审核:批准:1 .目的:为确保本公司各项信息系统及网络设备等账号与通行密码管理符合信息系统安全的要求,以避免未经授权的存取。2 .适用范围本公司各项应用系统、网络设备等。3 .权责3.1. 使用者3.1.1. 依密码设定与管理原则,妥答保护个人账号密码。3.2. 系统管理者.3.2.1. 依用户注街数据,赋予系统权限。3.2.2. 依离、停及调职程序,注销、变更或停用系统权限。3.2.3. 定期清查系统使用账号。4 .名诃释义:无5 .作业内容:5.1. 使用者原则:5.1.1. 新进人员报到时,针对电子邮
2、箱、钉钉、金蝶等信息系统作业账号密码申请.经核准后由系统管理人员建置账号与默认密码。5.1.2. 除可能因系统限制需求.特殊业务需求核可外,禁止用户共享账号及通行5.1.3. 公司每套信息设备用户都需利用公司电子表单系统申请所需权限.并拥有个人账号密码,个人账号皆为唯一性,一经生效将由个人管理,不得将自己的账号及通行密码供他人使用,亦不得以他人的账号及通行密码登入系统。5.1.4. 用户离职,应由系统管理者立即注销、停用账号密码,若因特殊需求需保留账号密码应立即更换其原有密码。5.1.5. 员工于职务或单位调整时应于及时向管理员申请系统账号异动,以落实系统权限的控管。5.2. 密码原则5.2.
3、1. 公司设置的各项设备密码由直接责任人自行保存,严禁将各项密码告知他人;若因工作需要必须告知,应按请示上级领导经上级领与批示后方可告知相应密码。一但对方工作完成,直接责任人必须及时更改密码,确保密码安全。5.2.2. 如不慎忘记密码或未定期变更密码导致账号上锁,须向管理员申请账号解锁,以保存相关记录与后续内稽查核。5.2.3. 用户应避将通行密码以任何明码方式显现任一可视场所,并禁止张贴在个人电脑及终端机屏幕等容易泄浦秘密的场所。5.2.4. 用户应妥管管理密码,严禁将密码以明码或可猜测的形式、帐贴、共享成呈现于可视范田内(如屏幕桌面等)5.2.5. 用户应避免将个人员工卡放至于桌面上,如要
4、离开座位时请务必带走。5.2.6. 如发现密码有泄密迹象或黑客破解密码,应立刻报告上级领导,并产查泄密源头修补系统漏洞,采取一切可行的方式规避公司损失并详细情况以书面形式及时上报上一级领导并立即更改通行密码。53使用者账号注册及注销5.3.1.所有注册用户信息系统新账号时,需先建立一个符合规定的临时密码,用户于首次登人后须更新密码.最迟不可超过一天作业。5.32使用者账号对发生以下情况对其访问权应从系统中予以注销。5.3.2.1.内部用户属优合同终止时。1.1.1.1. 用户因岗位调整不再需要此项访问服务时。1.1.1.3. 相关方访问合同终止时。1.1.1.4. 共它情况必须注销时。5.3.
5、3. 由于用户变换岗位等原因造成访问权限变更时,人事单位应将人事变动情况及时通知各部门,管理员进行权限设置更改。5.3.4. IT部门人员应依人事变动情况,立即检视用户权力的设定(含离职与部门异动)并与相关人员对接,再次检核以确保权限的正确性。5.3.5. 对于离职人员(含留职停薪人员),人事单应通知相关单位人员离职人员情形,管理员收到通知后,应立即知会管理员进行注销,停用账号。5.4.密钥管理:5.4.1. 本公司涉及营运冲击的信息服务系统,如采用凭证密钥的加密技术者,应对密钥采取适当的保护措施。5.4.2. 服务器上的密钥如为档案形式存在,则应服务器的密钥档案访问权很作适当保护,透过加密方
6、式作适当的备份保管5.4.3. 人员进出相关机敏区域时,应透过辨识系统(如指纹.Q卡.等),进行加密密钥管理辨识,且应进行管理纪录。5.4.4. 密钥管理需要遵守以下基本原则:5.441.全程安全原则:。5.4.4.1.1.密钥应随机产生,以避免放截取相关密码信息。544.1.2.代表组织身份的加密密钥应有明确的启动与止动日期,并于可用期问,保护其修改、遗失和破坏。5.4.4.2. 责任分离原则:1.1.1. 2.1.移除不必要的本地管理员特权并确保所有人类用户仅获得执行其作所需的特权。5.4.422. 将管理员账号与标准账号分开。5.4.43密钥更换原则:5A4.3.1.每次使用后应轮换所有管理员密码,撤销任何可能被按键记录软件捕获的凭证并减轻传递的风险。5.4.4.32对于部门所使用的USBKEY密钥必须做到专人保管,专人使用.、不用时必须放置在保险柜内或带锁的铁柜中妥苦保管。5.4.433.公司银行及税务系统由银行及税务提供USBKEY或电子狗财务部的加密狗由财务部经理保管.其生存周期由银行及税务部控制。544.3.4.密码和私有密钥需要防范非授权的泄露,用来生成、存储和归档密钥的设备应进行物理保护,软件密钥或证书须专人管理。6.使用表单:无