系統(tǒng)賬號管理規(guī)定_第1頁
系統(tǒng)賬號管理規(guī)定_第2頁
系統(tǒng)賬號管理規(guī)定_第3頁
系統(tǒng)賬號管理規(guī)定_第4頁
系統(tǒng)賬號管理規(guī)定_第5頁
已閱讀5頁,還剩9頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、歡迎閱讀系統(tǒng)賬號管理辦法歡迎閱讀文檔信息密級分類版本控制版本日期人員更新說明V1.02010-10-27 n文檔審核審核人職務(wù)審核日期XX .一 一-ux文檔批準批準人職務(wù)批準日期_ ”.一/一-分發(fā)控制部門人員文檔權(quán)限復(fù)查計劃復(fù)查時間復(fù)查人員復(fù)查結(jié)果II第一章 總則第一條目的:為保障企業(yè)信息化系統(tǒng)的安全、穩(wěn)定運行,切實防范和降低因非法或不適當?shù)膶ο到y(tǒng)或數(shù)據(jù)的訪問而帶來的風險,加強對系統(tǒng)訪問和權(quán)限分配的管理,根據(jù)相關(guān)規(guī) 章制度,特制訂本管理辦法。第二條 本管理辦法適用范圍:第三條系統(tǒng)范圍:支撐和企業(yè)信息化各系統(tǒng),包括 BOS繇統(tǒng)、以及支撐以上各系統(tǒng)的網(wǎng)絡(luò)平臺系統(tǒng);歡迎閱讀第四條 人員范圍:對上

2、述系統(tǒng)進行使用和開發(fā)維護的人員, 包括各系統(tǒng)的最終用戶、系統(tǒng)賬 號權(quán)限管理人員、提供系統(tǒng)集成、開發(fā)、維護、和技術(shù)支持服務(wù)的非本公司人員(第 三方人員)。第二章相關(guān)定義第五條賬號是指每個可訪問系統(tǒng)資源的用戶在系統(tǒng)中的標識,可分為應(yīng)用系統(tǒng)賬號、操作系統(tǒng)賬號和數(shù)據(jù)庫賬號等。應(yīng)用系統(tǒng)賬號是指在應(yīng)用系統(tǒng)中建立的用戶標識,用戶可以通過應(yīng)用系統(tǒng)提供的前臺操作界面進行登錄,并使用授權(quán)的業(yè)務(wù)功能和訪問授權(quán)的業(yè) 務(wù)數(shù)據(jù);操作系統(tǒng)賬號是指在主機系統(tǒng)中建立的用戶標識,用戶可以登錄主機設(shè)備和 發(fā)出操作指令;數(shù)據(jù)庫賬號是指在數(shù)據(jù)庫系統(tǒng)中建立的用戶標識, 用戶可以登錄數(shù)據(jù) 庫系統(tǒng)并訪問其中的數(shù)據(jù)。第六條訪問權(quán)限是指賬號被賦

3、予的可以訪問系統(tǒng)資源和使用系統(tǒng)功能的權(quán)利。第七條賬號管理員是指負責在系統(tǒng)中執(zhí)行賬號管理操作的人員,例如在系統(tǒng)中創(chuàng)建或撤銷賬號,分配或修改賬號權(quán)限,定期提供系統(tǒng)中的賬號和權(quán)限清單供閱等。第八條賬號審批人員是指有權(quán)對賬號和權(quán)限的管理操作進行審批和決策的人員,包括各部門負責人,業(yè)務(wù)負責人、安全管理員或經(jīng)部門領(lǐng)導(dǎo)授權(quán)的人員等。第九條系統(tǒng)管理員是指負責對系統(tǒng)進行維護和管理的人員,例如操作系統(tǒng)管理員,數(shù)據(jù)庫管理員,賬號管理員等。第十條歸檔人是指負責執(zhí)行文檔資料歸檔保存操作的人員。第三章職責分工第十一條BOSS系統(tǒng)使用部門內(nèi)部應(yīng)用賬號和權(quán)限的審批和相關(guān)管理操作由各部門負責.信息化部負責管理本部門應(yīng)用系統(tǒng)維護

4、人員的賬號和權(quán)限,并執(zhí)行對各使用部門應(yīng)用賬號 管理員的賬號和權(quán)限進行管理的相關(guān)操作.各需求部門負責明確應(yīng)用系統(tǒng)新增功能的 開放范圍。歡迎閱讀第十二條BOSS系統(tǒng)應(yīng)用賬號和權(quán)限的審批由各職能管理部門負責,各使用部門負責向職能管理部門提出應(yīng)用系統(tǒng)賬號和權(quán)限申請,信息化部負責在BOS繇統(tǒng)中執(zhí)行賬號和權(quán)限管理的相關(guān)操作。第十三條各系統(tǒng)操作系統(tǒng)層和數(shù)據(jù)庫層和網(wǎng)絡(luò)層賬號和權(quán)限的管理由信息化部負責。第四章基本原則第十四條對系統(tǒng)的訪問必須經(jīng)過授權(quán),任何人不得在未經(jīng)授權(quán)的情況下在系統(tǒng)中運行未經(jīng)審批的程序。授權(quán)可以通過書面文件,或通過員工按崗位的分工等方式實現(xiàn)。 授權(quán)必須經(jīng) 過正式審批方可生效。第十五條各系統(tǒng)必須

5、采用用戶名和密碼認證方式實現(xiàn)登錄控制,對系統(tǒng)的訪問必須使用唯一的賬號和口令。第十六條各系統(tǒng)中不允許建立共享賬號,每個賬號都與唯一的用戶相對應(yīng)。擁有賬號的用戶不得隨意將賬號交于他人使用。第十七條賬號權(quán)限的分配應(yīng)遵循滿足需求的最小授權(quán)原則,即為用戶分配權(quán)限時,以其能進行系統(tǒng)管理、操作的最小權(quán)限進行授權(quán),避免為其分配無關(guān)的或更大的權(quán)限。第十八條 各系統(tǒng)(主機、數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用)都應(yīng)有完整的帳號權(quán)限分配現(xiàn)狀記錄表,且展 示形式清晰,可以方便查詢到指定用戶的權(quán)限;第十九條每月備份帳號權(quán)限分配記錄表,備份信息保留至少兩年;I I第二十條有關(guān)用戶登陸和賬號權(quán)限管理的相關(guān)操作在系統(tǒng)中要留有日志,日志至少保留

6、兩年以上;第二十一條創(chuàng)立新用戶角色或?qū)τ脩艚M或用戶角色定義進行修改時,應(yīng)考慮不相容職責分工原則,例如操作人員與審核人員的分離、開發(fā)人員與維護人員的分離等。第二十二條當員工工作調(diào)動或離職時,其在系統(tǒng)中的賬號應(yīng)立即撤銷,不得繼續(xù)將賬號分配給他人使用。第二十三條開發(fā)人員平時不得使用生產(chǎn)系統(tǒng)中的賬號。如需使用,則必須以書面形式提出申請,經(jīng)信息化部主管審批后,由系統(tǒng)管理員臨時為其開啟一個賬號.開發(fā)人員在訪問生產(chǎn)歡迎閱讀系統(tǒng)時必須由信息化部系統(tǒng)維護人員對其訪問進行監(jiān)督,在訪問結(jié)束后及時刪除賬號 或更改口令,并對操作日志進行審閱。第二十四條對操作系統(tǒng)級和數(shù)據(jù)庫層超級用戶的賬號(比如根用戶,系統(tǒng)管理員,安全管

7、理員賬號,批處理用戶賬號,數(shù)據(jù)庫管理員)由信息化部系統(tǒng)維護部經(jīng)理對正式書面審批, 使用僅限于經(jīng)授權(quán)的系統(tǒng)管理人員;信息化部系統(tǒng)維護部經(jīng)理對操作系統(tǒng)層及數(shù)據(jù)庫 層超級用戶賬號的清單每季進行復(fù)核并簽字確認,并對多余或不恰當?shù)馁~號進行調(diào) 整。第二十五條對應(yīng)用系統(tǒng)層超級用戶的賬戶的建立是根據(jù)用戶工作職責,僅限于經(jīng)授權(quán)的應(yīng)用管理人員使用。各系統(tǒng)遵循如下規(guī)定:第二十六條信息化部業(yè)務(wù)維護部經(jīng)理或各業(yè)務(wù)部門主管對 BOS繇統(tǒng)應(yīng)用管理員、工號管理員的授權(quán)審批建立正式的書面審批表格,并且對 BOS繇統(tǒng)管理員、工號管理員的清單每 季進行復(fù)核并簽字確認,并對多余或不恰當?shù)馁~號進行調(diào)整;第二十七條如果系統(tǒng)中存在第三方廠

8、商人員使用賬號的情況,應(yīng)和第三方廠商簽訂相關(guān)的安全保密協(xié)議,以合理確保第三方廠商能夠執(zhí)行的安全管理要求和職責不相容要求.如果外部人員需要通過遠程登錄訪問對系統(tǒng)進行操作及更新,局方人員在每次操作執(zhí)行時應(yīng) 根據(jù)部門主管授權(quán),臨時開通遠程登錄功能。局方人員對遠程登錄操作進行監(jiān)控 (或 事后及時審閱相應(yīng)的操作日志記錄)。在操作完成后,局方人員應(yīng)及時終止遠程登錄。第二十八條對于部分因系統(tǒng)接口原因在系統(tǒng)中預(yù)設(shè)的用戶賬號,應(yīng)對接口程序、腳本或相關(guān)設(shè)置進行加密或?qū)嵤┰L問控制,以防止未經(jīng)授權(quán)的訪問。對內(nèi)置賬號的目錄/文件訪問權(quán)限嚴格限制在該賬號的功能范圍內(nèi)并定期檢查。在系統(tǒng)做定期維護時對密碼做更改。 對該類賬號

9、的操作要保留日志并定期審閱。I I第二十九條各賬號和權(quán)限的操作、管理人員應(yīng)嚴格遵守我公司相關(guān)管理規(guī)定,不得以任何非法形式操作非本人權(quán)限范圍內(nèi)之事。第五章賬號的建立、變更、撤銷和審閱第三十條 當需要在系統(tǒng)中創(chuàng)建新賬號或新用戶角色時,由申請人填寫賬號權(quán)限變更記錄單提出申請,明確要使用賬號的人員信息、 賬號權(quán)限,或者新用戶角色的權(quán)限,經(jīng)賬號歡迎閱讀執(zhí)行完畢后,在記審批人員簽字審批后,由賬號管理員在系統(tǒng)中執(zhí)行賬號創(chuàng)建操作 錄單上簽字后歸檔。第三十一條各系統(tǒng)普通用戶賬號管理由部門主管授權(quán)的帳號管理員負責。賬號的權(quán)限進行調(diào)整或增加/刪除,須由業(yè)務(wù)部門主管對權(quán)限變更記錄單審批確認后,由帳號管理員在系統(tǒng) 中進

10、行設(shè)置。第三十二條當需要在系統(tǒng)中進行賬號權(quán)限或用戶角色權(quán)限變更時 ,由申請人填寫賬號權(quán)限變更記錄單提出申請,明確變更內(nèi)容,經(jīng)賬號審批人員簽字審批后,由賬號管理員在系 統(tǒng)中執(zhí)行賬號變更操作。執(zhí)行完畢后,在記錄單上簽字后歸檔。第三十三條當發(fā)生員工調(diào)動或離職時,原所在部門須在調(diào)動離職批準后 2日內(nèi),由帳號管理員對該人員的帳號進行刪除或者禁止使用管理處理。第三十四條當系統(tǒng)管理員離職或調(diào)職時,應(yīng)對此類關(guān)鍵賬號進行禁用處理并保留相關(guān)賬號操作日志待查,接任的管理員經(jīng)過申請審批流程獲得新的管理員賬號。如果管理員賬號無法變更或禁用(如root賬號,DBA賬號等)則建立正式的賬號移交流程,由部門負責 人員對賬號移

11、交單簽字認可后,離職的系統(tǒng)管理員將賬號移交給接任的系統(tǒng)管理員。 接任的系統(tǒng)管理員立即更改該管理員賬號密碼,并在賬號移交單上簽字后歸檔。第三十五條當應(yīng)用系統(tǒng)新增功能涉及到賬號權(quán)限分配時,由需求部門(BOSS系統(tǒng))在正式文件中明確新增功能在系統(tǒng)中的開放范圍,由信息化部應(yīng)用系統(tǒng)賬號管理員在系統(tǒng)中執(zhí)行新 增功能訪問權(quán)限分配工作。第三十六條當在某些情況下需要臨時授權(quán)時,由申請人填寫賬號權(quán)限變更記錄單,明確申請 . I二-原因、授權(quán)賬號、權(quán)限內(nèi)容和權(quán)限使用期限等信息, 經(jīng)賬號審批人員簽字審批后,由 賬號管理員在系統(tǒng)中執(zhí)行權(quán)限分配工作。當工作結(jié)束后,應(yīng)由賬號管理員立即將臨時I I權(quán)限收回,并在記錄單上記錄回

12、收情況和簽字后歸檔保存。第三十七條當某用戶需要超級權(quán)限時,應(yīng)在其原有的賬號之外,另行設(shè)置一個授予了超級權(quán)限的特殊賬號。第三十八條信息化部每半年將各系統(tǒng)中的賬號清單(包括應(yīng)用層、數(shù)據(jù)庫層和操作系統(tǒng)層的超級用戶,系統(tǒng)管理員和普通用戶在內(nèi)的所有賬號)提供給各部門 ,由賬號所在部門領(lǐng)導(dǎo) 或授權(quán)人員進行復(fù)核和簽字確認,對多余或不恰當?shù)馁~號須依照賬號變更或撤銷流 程進行調(diào)整,并將結(jié)果匯總至信息化部保存。歡迎閱讀第三十九條信息化部每半年或業(yè)務(wù)流程發(fā)生重大變更時,將系統(tǒng)中的賬號訪問權(quán)限清單提供給各部門,由賬號所在部門進行審閱簽字,以避免在賬號的權(quán)限中有不相容職責的存 在。如發(fā)現(xiàn)不相容職責須依照賬號和權(quán)限變更流

13、程進行調(diào)整,并將結(jié)果匯總至信息化 部保存。第四十條對于采取用戶角色來向用戶分配訪問權(quán)限的系統(tǒng) ,信息化部應(yīng)建立系統(tǒng)權(quán)限和用戶職責(或用戶角色)矩陣表,用來反映用戶職責(或用戶角色)與其所能進行的操作權(quán) 限的對應(yīng)關(guān)系.該矩陣表由負責賬號權(quán)限審批的主管部門負責人定期 (每三個月一次) 審閱簽字確認。賬號管理員負責維護系統(tǒng)中的用戶權(quán)限與審閱后的矩陣表保持一致。 I - 第六章口令管理.一一第四十一條賬號口令擁有者必須嚴格確保口令的安全保密性。一旦有跡象表明口令可能被泄露,用戶必須立即修改口令。第四十二條系統(tǒng)中的賬號口令應(yīng)避免使用弱口令.口令長度不得低于6位,須由數(shù)字、字母組成,并至少每90天進行強制

14、更新,且更新時不得使用最近5次以內(nèi)重復(fù)使用的口令。第四十三條賬號的初始口令應(yīng)以安全途徑告知賬號使用者.賬號使用者在首次登錄系統(tǒng)時應(yīng)立即修改賬號口令。第四十四條若登錄系統(tǒng)時連續(xù)5次口令輸入錯誤,則應(yīng)暫停該工號登錄。第四十五條超級賬號口令應(yīng)由賬號管理員負責維護。 嚴禁未經(jīng)賬號審批人員的許可使用超級賬號I I -1 I ;及口令。如發(fā)生丟失或遺忘口令的情況,超級賬號管理員應(yīng)立即通知賬號審批人員重 置密他。第四十六條口令在系統(tǒng)中保存或傳輸時,必須采取安全措施以保證賬號的安全性,例如對口令進行加密等.除非可以安全保管,否則不得將口令記錄在紙張等一切可視介質(zhì)上。第四十七條當程序內(nèi)的賬號密碼需要保存在配置文

15、件里時,文件屬性應(yīng)置為不可讀,并且只能由對應(yīng)程序訪問。程序所使用到的賬號及口令不能用于日常運維管理, 不能供用戶使用。 程序所使用到的賬號及口令禁止擴散。在系統(tǒng)做定期維護時對密碼做更改。歡迎閱讀第七章 附則第四十八條本方針由xxxxt限公司制定并負責解釋和修訂第四十九條本方針自發(fā)布之日起執(zhí)行第一章附件1:賬號權(quán)限創(chuàng)建/變更/撤銷流程賬號創(chuàng)建/變更/撤消流程賬號審批人審批賬號權(quán)限創(chuàng)建/變更/撤消申請賬號管理員執(zhí)行賬號權(quán) 限創(chuàng)建/變更/ 撤消操作記錄單上記錄操作結(jié)果/ | I I第二章附件2:賬號權(quán)限變更記錄單變更類型口創(chuàng)建新賬號口賬號權(quán)限變更 撤銷賬號口創(chuàng)建新用戶角色口用戶角色權(quán)限變更撤銷用戶角色申請人所屬部門申請時間賬號使用人所屬部門賬號/用戶角色 名稱賬號/用戶角色職責描述11賬號類別口系統(tǒng)超級管理員 口系統(tǒng)管理員 口系統(tǒng)普通用戶

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論