XXXX公司
账号密码及权限管理制度
1 总则
1.1 目的
为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。
1.2 范围
所有使用本公司网络信息系统的人员。
1.3 职责
公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。
1.4 术语和定义
内部网络:是指在本公司内部所有客户端等组成的局域网。包括但不限于OA系统以及数据库系统等。
2 控制内容
1.1 用户注册
? 新用户必须加入域,否则不允许入网。
? 域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名
原则为职工工号。
账号密码及权限管理制度
? 一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对
其操作行为负责。
? 用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有
账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规避风险。
? 系统管理员应定期检查并取消多余的用户账号。
1.2 权限管理
? 行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申
请是否与信息安全策略相违背。
? 特权用户必须按授权程序通过系统等部门主管批准,才可给予相应的权
限。
? 系统管理员应保留所有特权用户的授权程序与记录。
? 权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信
息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户的单独监控。
? 只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本
岗位工作最低标准为准。
? 系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授
予权限。
? 对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待
者申请为其办理授审批程序。
1.3 密码的选择
密码的选择应参考以下规则:
账号密码及权限管理制度
? 最少要有8个字符,必须由字母、数字、大小写以及特殊字符组成。 ? 不要使用别人通过个人相关信息(如姓名、电话号码、生日等)容易猜
出或破解的密码。
1.4 密码管理和使用
? 员工应了解进行有效访问控制的责任,特别是密码使用和员工设备安全
的责任;
? 员工应保证密码安全,不得向其他任何人泄漏。对于泄漏密码向造成的
损失,由员工本人负责; ? 不要共享个人密码;
? 应避免在纸上记录密码,或以明文方式记录计算机内;
? 不要在任何自动登录程序中使用密码,如在宏或功能键中存储; ? 用户忘记密码时,管理员必须在对该用户进行适当的身份识别后才能向
其提供临时密码;
? 常规情况下,用户自主密码至少每季度更改一次,系统密码可半年更改
一次,且避免再次使用旧密码或循环使用旧密码;
? 允许用户选择和变更他们自己的密码,并且包括确认程序,以便考虑到
输入出错的情况;
? 在第一次登录时强制用户变更临时密码;
? 存储密码文件的存储应和系统数据相分开,并采用安全方式存储和传输
密码(例如加密或哈希)。
1.5 用户访问权限检查
? 定期检查用户的账号及其权限,保留检查记录;
账号密码及权限管理制度
? 重点检查有特权的账号,是否存在特权使用期限过期。
1.6 域帐号建立流程
新建账号由个人或使用人提交申请单,经部门领导、行政部领导审批确认后,由行政部指定专人进行账号开通、权限配置工作,并反馈申请人配置结果。
新进员工由管理员开通帐号、分配权限首次登录,强制修改密码N修改成功Y联系管理员自动关联内网邮件帐号
1.7 帐号删除流程
域管理员定期(半年)对现有AD账号进行清理,发现有超过6个月未登录/使用的账号对其禁用,期间账户所有者可申请账号的重新启用,禁用的账号将保存6个月,若仍未启用将进行删除操作。
账号密码及权限管理制度
管理员定期检查帐号员工离职通知管理员N多余帐号Y取消访问权限删除帐号
账号密码及权限管理制度
