XXXX 公司
账号密码及权限管理制度
1 总则
1.1 目的
为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控 制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。
1.2 范围
所有使用本公司网络信息系统的人员。
1.3 职责
公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人 员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。
1.4 术语和定义
内部网络:是指在本公司内部所有客户端等组成的局域网。 包括但不限于 OA 系统以及数据库系统等。
2 控制内容
1.1 用户注册
新用户必须加入域,否则不允许入网。
域用户账号由网络管理员在该用户上岗使用公司网络系统前建立 , 命名 原则为职工工号。
自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对 其操作行为负责 用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有 账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规 避风险。
系统管理员应定期检查并取消多余的用户账号
1.2权限管理
行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申 请是否与信息安全策略相违背。
特权用户必须按授权程序通过系统等部门主管批准, 才可给予相应的权 限。 系统管理员应保留所有特权用户的授权程序与记录。
权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户 的单独监控。 只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。
系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授 予权限。 对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待 者申请为其办理授审批程序。
1.3密码的选择
密码的选择应参考以下规则:
最少要有8个字符,必须由字母、数字、大小写以及特殊字符组成。
不要使用别人通过个人相关信息(如姓名、电话号码、生日等)容易猜 出或破解的密码。
1.4密码管理和使用
员工应了解进行有效访问控制的责任,特别是密码使用和员工设备安全 的责任; 员工应保证密码安全,不得向其他任何人泄漏。对于泄漏密码向造成的 损失,由员工本人负责; 不要共享个人密码;
应避免在纸上记录密码,或以明文方式记录计算机内; 不要在任何自动登录程序中使用密码,如在宏或功能键中存储;
用户忘记密码时,管理员必须在对该用户进行适当的身份识别后才能向 其提供临时密码;
常规情况下,用户自主密码至少每季度更改一次, 系统密码可半年更改 一次,且避免再次使用旧密码或循环使用旧密码;
允许用户选择和变更他们自己的密码, 并且包括确认程序,以便考虑到 输入出错的情况;
在第一次登录时强制用户变更临时密码;
存储密码文件的存储应和系统数据相分开,并采用安全方式存储和传输 密码(例如加密或哈希)。
1.5用户访问权限检查
定期检查用户的账号及其权限,保留检查记录; 重点检查有特权的账号,是否存在特权使用期限过期
1.6域帐号建立流程
新建账号由个人或使用人提交申请单, 经部门领导、行政部领导审批确认后, 由行政部指定专人进行账号开通、权限配置工作,并反馈申请人配置结果。
1.7帐号删除流程
域管理员定期(半年)对现有 AD账号进行清理,发现有超过6个月未登录/ 使用的账号对其禁用,期间账户所有者可申请账号的重新启用, 禁用的账号将保 存6个月,若仍未启用将进行删除操作。
账号密码及权限管理制度
