权限、口令、加密管理制度
第一十条一般用户具有最基本维护操作权限,不具备数据配置和修改的权限。各系统管理员可以根据需要设置操作通信设备及系统的一般用户,并将系统中的帐号及对应权限与《用户帐号权限登记表》进行核对,确保帐号授权准确无误。信息安全执行组不定期将帐号与相关记录进行核对,信息安全审核组将于内审时对进行审计。
第一十一条系统管理员每月应检查帐号的有效性,并维护和及时更新《用户帐号权限登记表》。在设备验收时删除系统的测试帐号,对需要保留的帐号应重新进行密码设置;及时删除不再需要的帐号,及时清理可疑帐号,锁定两个月以上不用的帐号。禁止与系统无关的人员在系统上拥有帐号。
第五章
a)《物理环境安全管理制度》
b)《介质安全管理制度》
c)《访问控制安全管理制度》
第六章
第一十九条本管理规定自发布之日起开始实施;
第二十条本管理规定的解释和修改权属于信息安全管理委员会;
第二十一条信息安全管理委员会每年统一检查和评估本管理规定,并做出适当更新。在业务环境和安全需求发生重大变化时,也将对本规定进行检查和更新。
XX公司xx系统对系统管理员的帐号、权限使用/变更申请需要通过变更流程进行审批,系统管理员对一般用户的帐号、权限使用/变更申请进行审批。
帐号、权限开通/变更后,由系统管理员填写/更新《用户帐号、权限登记表》。
第一十四条权限的回收管理
当系统管理员调动、离职,由其填写《用户帐号、权限登记表》,经管理负责人批准后备案。新任系统管理员必须在规定时限内修改、删除或锁定原系统管理员的帐号密码。
对于多人共享帐号,当共享同一组帐号的多名通信设备及系统维护人员中有人调职或离职时,系统管理员应及时变更该组帐号密码。
2.2
第一十五条帐号密码(或称“口令”)组成必须包含大小写字母、数字、标点等不同的字符组合,长度一般要求在6位以上,重要通信设备及系统应在8位(含8位)以上,并至多90天更换一次。禁止使用姓名、电话号码、生日等容易猜测的字符串作为密码,也不应使用单个单词作为密码。
第一十二条系统管理员应对服务器、应用平台及网络设备及系统帐号进行超时设置,在会话空闲10分钟后应自动退出。对于不具备设置自动超时保护功能的设备及系统,登录人员在离开登录设备及系统时,应人工锁定操作终端。
第一十三条帐号、权限的申请与变更管理
申请人向XX公司xx系统相关服务器和应用系统负责人或运维人员提交申请,说明、申请原因、申请性质及帐号名、所需权限、使用期限等信息,然后由XX公司xx系统相关领导进行审核,批注后由系统管理员进行帐号变更操作。设备厂家等外部人员在申请临时帐号时还应书面申请并在《用户帐号、权限登记表》上记录。
第十八条加密管理办法:对于需要加密的文档类数据采用文件加密的方法,要通过office自带的加密工具进行加密,并制定文档的访问权限。在“工具”――“选项”――“安全性”――“打开文件的密码”和“修改文件的密码”来进行设定;对于需要加密的非文档类数据采用压缩加密的方法。
第四章
a)《用户帐号权限登记表》
第六条信息安全执行组和所有相关岗位负责执行该要求。
第三章
2.1
第七条XX公司xx系统应用系统新帐号的注册和建立必须由相关系统负责人进行授权,由XX公司xx系统运维人员进行相关记录。对于部分不在信融投资系统业务范围内的应用系统帐号,暂时不对其进行记录和操作。
第八条对于特定系统,所有人用户均只有一个唯一帐号,如使用权限变更,需要通过变更流程,同时要有记录。
第一十六条系统管理员应按要求填写《用户帐号、权限登记表》。《用户帐号、权限登记表》应作为机密文件保管,不得以文件形式保存在计算机中。严禁用电子邮件形式传送密码。
2.3
第一十七条加密数据的类型分为文档类数据和非文档类数据,文档类数据特指word、excel两类文件;非文档类数据指除word、excel两类以外的所有文件,如pdf文件、txt文件、图片、邮件等等。
第九条操作权限实行分级管理,第一级用户为系统管理员用户,拥有最高管理权限:服务器及其承载的应用系统和网络设备等进行管理操作。第二级账户为应用管理员账户,拥有对系统应用进行管理控制的权限,但限制其对系统的管理和控制。系统管理员用户为拥有所管辖通信设备及系统最高级别管理权限的独立帐号,各系统管理员负责创建其它用户帐号,负责授予、控制和修改其它级别用户的操作权限、使用时限等,并定期将系统中的帐号及对应权限与《用户帐号权限登记表》进行核对,确保帐号授权准确无误。信息安全执行组不定期将帐号与相关记录进行核对,信息安全审核组将于内审时对进行审计。
权限口令加密管理制度
文档修订摘要
日期
版本号/状态
描述
著者
审阅者
批准人/日期
第一章总则4
1.1目的4
1.2范围4
第二章人员和职责4
第三章内容5
2.1权限管理规定5
2.2口令管理规定7
2.3加密管理规定7
第四章相关记录8
第五章相关文件8
第六章附则8
第一章
1.1
第一条对网络设备、应用系统服务器、应用系统所提供的访问权限进行合理控制;为生成口令、保护口令以及变更口令等对口令管理而建立的相应策略;为保护数据、加密保存等密码管理而建立相应的策略。
1.2
第二条本文档适用于所有需要权限操作的相关部门和人员。
第三条本文档适用于所有在XX公司中拥有帐号的(或任何形式的支持或需要口令的访问)个人,用于访问XX公司信融投资系统的网络,或存储于XX公司xx系统的非公开信息。
第四条本文档适用于所有XX公司xx系统各系统中需要加密控制的数据。
第二章
第五条信息安全管理组负责监督此文档的落实。
