系统账号管理办法 本文关键词:账号,管理办法,系统
系统账号管理办法 本文简介:系统账号管理办法系统账号管理办法文档信息文档信息机密级分类版本版本日期日期人员人员更新说明更新说明V1.02010-10-27版版本控制审核人审核人职务职务审核日期审核日期文文档审核批准人批准人职务职务批准日期批准日期文文档批准部门部门人员人员文档权限文档权限复分发控制复查时间复查时间复查人员复查人
系统账号管理办法 本文内容:
系统账号管理办法系统账号管理办法
文档信息文档信息
机
密级分类
版本版本日期日期人员人员更新说明更新说明
V1.02010-10-27
版
版本控制
审核人审核人职务职务审核日期审核日期
文
文档审核
批准人批准人职务职务批准日期批准日期
文
文档批准
部门部门人员人员文档权限文档权限
复
分发控制
复查时间复查时间复查人员复查人员复查结果复查结果
复
复查计划
第一章第一章
总总
则则
第一条目的:为保障企业信息化系统的安全、稳定运行,切实防范和降
低因非法或不适当的对系统或数据的访问而带来的风险,加强对
系统访问和权限分配的管理,根据相关规章制度,特制订本管理
办法。
第二条本管理办法适用范围:
第三条系统范围:支撑和企业信息化各系统,包括
BOSS
系统、以及支撑
以上各系统的网络平台系统;
第四条人员范围:对上述系统进行使用和开发维护的人员,包括各系统
的最终用户、系统账号权限管理人员、提供系统集成、开发、维
护、和技术支持服务的非本公司人员(第三方人员)。
第二章第二章
相关定相关定义义
第五条账号是指每个可访问系统资源的用户在系统中的标识,可分为应用
系统账号、操作系统账号和数据库账号等。应用系统账号是指在
应用系统中建立的用户标识,用户可以通过应用系统提供的前台
操作界面进行登录,并使用授权的业务功能和访问授权的业务数
据;操作系统账号是指在主机系统中建立的用户标识,用户可以
登录主机设备和发出操作指令;数据库账号是指在数据库系统中
建立的用户标识,用户可以登录数据库系统并访问其中的数据。
第六条访问权限是指账号被赋予的可以访问系统资源和使用系统功能的
权利。
第七条账号管理员是指负责在系统中执行账号管理操作的人员,例如在系
统中创建或撤销账号,分配或修改账号权限,定期提供系统中的账
号和权限清单供审阅等。
第八条账号审批人员是指有权对账号和权限的管理操作进行审批和决策
的人员,包括各部门负责人,业务负责人、安全管理员或经部门
领导授权的人员等。
第九条系统管理员是指负责对系统进行维护和管理的人员,例如操作系
统管理员,数据库管理员,账号管理员等。
第十条归档人是指负责执行文档资料归档保存操作的人员。
第三章第三章
职责职责分工分工
第十一条BOSS
系统使用部门内部应用账号和权限的审批和相关管理操作由
各部门负责.信息化部负责管理本部门应用系统维护人员的账号和
权限,并执行对各使用部门应用账号管理员的账号和权限进行管
理的相关操作.各需求部门负责明确应用系统新增功能的开放范围。
第十二条BOSS
系统应用账号和权限的审批由各职能管理部门负责,各使用
部门负责向职能管理部门提出应用系统账号和权限申请,信息化
部负责在
BOSS
系统中执行账号和权限管理的相关操作。
第十三条各系统操作系统层和数据库层和网络层账号和权限的管理由信息
化部负责。
第四章第四章
基本原基本原则则
第十四条对系统的访问必须经过授权,任何人不得在未经授权的情况下在
系统中运行未经审批的程序。授权可以通过书面文件,或通过员
工按岗位的分工等方式实现。授权必须经过正式审批方可生效。
第十五条各系统必须采用用户名和密码认证方式实现登录控制,对系统的
访问必须使用唯一的账号和口令。
第十六条各系统中不允许建立共享账号,每个账号都与唯一的用户相对应。
拥有账号的用户不得随意将账号交于他人使用。
第十七条账号权限的分配应遵循满足需求的最小授权原则,即为用户分配
权限时,以其能进行系统管理、操作的最小权限进行授权,避免
为其分配无关的或更大的权限。
第十八条各系统(主机、数据库、网络、应用)都应有完整的帐号权限分
配现状记录表,且展示形式清晰,可以方便查询到指定用户的权
限;
第十九条每月备份帐号权限分配记录表,备份信息保留至少两年;
第二十条有关用户登陆和账号权限管理的相关操作在系统中要留有日志,日
志至少保留两年以上;
第二十一条创立新用户角色或对用户组或用户角色定义进行修改时,应考虑
不相容职责分工原则,例如操作人员与审核人员的分离、开发人
员与维护人员的分离等。
第二十二条当员工工作调动或离职时,其在系统中的账号应立即撤销,不得
继续将账号分配给他人使用。
第二十三条开发人员平时不得使用生产系统中的账号。如需使用,则必须以
书面形式提出申请,经信息化部主管审批后,由系统管理员临时为
其开启一个账号.开发人员在访问生产系统时必须由信息化部系统
维护人员对其访问进行监督,在访问结束后及时删除账号或更改
口令,并对操作日志进行审阅。
第二十四条对操作系统级和数据库层超级用户的账号(比如根用户,系统管理
员,安全管理员账号,批处理用户账号,数据库管理员)
由信息
化部系统维护部经理对正式书面审批,使用仅限于经授权的系统
管理人员;信息化部系统维护部经理对操作系统层及数据库层超级
用户账号的清单每季进行复核并签字确认,并对多余或不恰当的
账号进行调整。
第二十五条对应用系统层超级用户的账户的建立是根据用户工作职责,仅限
于经授权的应用管理人员使用。各系统遵循如下规定:
第二十六条信息化部业务维护部经理或各业务部门主管对
BOSS
系统应用管理
员、工号管理员的授权审批建立正式的书面审批表格,并且对
BOSS
系统管理员、工号管理员的清单每季进行复核并签字确认,
并对多余或不恰当的账号进行调整;
第二十七条如果系统中存在第三方厂商人员使用账号的情况,应和第三方厂
商签订相关的安全保密协议,以合理确保第三方厂商能够执行的
安全管理要求和职责不相容要求.如果外部人员需要通过远程登录
访问对系统进行操作及更新,局方人员在每次操作执行时应根据
部门主管授权,临时开通远程登录功能。局方人员对远程登录操
作进行监控(或事后及时审阅相应的操作日志记录)。在操作完
成后,局方人员应及时终止远程登录。
第二十八条对于部分因系统接口原因在系统中预设的用户账号,应对接口程
序、脚本或相关设置进行加密或实施访问控制,以防止未经授权
的访问。对内置账号的目录/文件访问权限严格限制在该账号的功
能范围内并定期检查。在系统做定期维护时对密码做更改。对该
类账号的操作要保留日志并定期审阅。
第二十九条各账号和权限的操作、管理人员应严格遵守我公司相关管理规定,
不得以任何非法形式操作非本人权限范围内之事。
第五章第五章
账账号的建立、号的建立、变变更、撤更、撤销销和和审阅审阅
第三十条当需要在系统中创建新账号或新用户角色时,由申请人填写《账
号权限变更记录单》提出申请,明确要使用账号的人员信息、账
号权限,或者新用户角色的权限,经账号审批人员签字审批后,
由账号管理员在系统中执行账号创建操作。执行完毕后,在记录
单上签字后归档。
第三十一条各系统普通用户账号管理由部门主管授权的帐号管理员负责。账
号的权限进行调整或增加/删除,须由业务部门主管对权限变更记
录单审批确认后,由帐号管理员在系统中进行设置。
第三十二条当需要在系统中进行账号权限或用户角色权限变更时,由申请人填
写《账号权限变更记录单》提出申请,明确变更内容,经账号审
批人员签字审批后,由账号管理员在系统中执行账号变更操作。
执行完毕后,在记录单上签字后归档。
第三十三条当发生员工调动或离职时,原所在部门须在调动离职批准后
2
日内,
由帐号管理员对该人员的帐号进行删除或者禁止使用管理处理。
第三十四条当系统管理员离职或调职时,应对此类关键账号进行禁用处理并
保留相关账号操作日志待查,接任的管理员经过申请审批流程获
得新的管理员账号。如果管理员账号无法变更或禁用(如
root
账
号,DBA
账号等)则建立正式的账号移交流程,由部门负责人员
对账号移交单签字认可后,离职的系统管理员将账号移交给接任
的系统管理员。接任的系统管理员立即更改该管理员账号密码,
并在账号移交单上签字后归档。
第三十五条当应用系统新增功能涉及到账号权限分配时,由需求部门(BOSS
系
统)在正式文件中明确新增功能在系统中的开放范围,由信息化部
应用系统账号管理员在系统中执行新增功能访问权限分配工作。
第三十六条当在某些情况下需要临时授权时,由申请人填写《账号权限变更
记录单》,明确申请原因、授权账号、权限内容和权限使用期限
等信息,经账号审批人员签字审批后,由账号管理员在系统中执
行权限分配工作。当工作结束后,应由账号管理员立即将临时权
限收回,并在记录单上记录回收情况和签字后归档保存。
第三十七条当某用户需要超级权限时,应在其原有的账号之外,另行设置一
个授予了超级权限的特殊账号。
第三十八条信息化部每半年将各系统中的账号清单(包括应用层、数据库层
和操作系统层的超级用户,系统管理员和普通用户在内的所有账号)
提供给各部门,由账号所在部门领导或授权人员进行复核和签字
确认,对多余或不恰当的账号须依照账号变更或撤销流程进行调
整,并将结果汇总至信息化部保存。
第三十九条信息化部每半年或业务流程发生重大变更时,将系统中的账号访
问权限清单提供给各部门,由账号所在部门进行审阅签字,以避免
在账号的权限中有不相容职责的存在。如发现不相容职责须依照
账号和权限变更流程进行调整,并将结果汇总至信息化部保存。
第四十条对于采取用户角色来向用户分配访问权限的系统,信息化部应建立
系统权限和用户职责(或用户角色)矩阵表,用来反映用户职责
(或用户角色)与其所能进行的操作权限的对应关系.该矩阵表
由负责账号权限审批的主管部门负责人定期(每三个月一次)审阅
签字确认。账号管理员负责维护系统中的用户权限与审阅后的矩
阵表保持一致。
第六章第六章
口令管理口令管理
第四十一条账号口令拥有者必须严格确保口令的安全保密性。一旦有迹象表
明口令可能被泄露,用户必须立即修改口令。
第四十二条系统中的账号口令应避免使用弱口令.口令长度不得低于
6
位,须
由数字、字母组成,并至少每
90
天进行强制更新,且更新时不得使
用最近
5
次以内重复使用的口令。
第四十三条账号的初始口令应以安全途径告知账号使用者.账号使用者在首次
登录系统时应立即修改账号口令。
第四十四条若登录系统时连续
5
次口令输入错误,则应暂停该工号登录。
第四十五条超级账号口令应由账号管理员负责维护。严禁未经账号审批人员
的许可使用超级账号及口令。如发生丢失或遗忘口令的情况,超
级账号管理员应立即通知账号审批人员重置密码。
第四十六条口令在系统中保存或传输时,必须采取安全措施以保证账号的安全
性,例如对口令进行加密等.
除非可以安全保管,否则不得将口令
记录在纸张等一切可视介质上。
第四十七条当程序内的账号密码需要保存在配置文件里时,文件属性应置为
不可读,并且只能由对应程序访问。程序所使用到的账号及口令不
能用于日常运维管理,不能供用户使用。程序所使用到的账号及
口令禁止扩散。在系统做定期维护时对密码做更改。
第七章第七章
附附
则则
第四十八条本方针由
XXXX
有限公司制定并负责解释和修订。
第四十九条本方针自发布之日起执行。
第一章第一章附件1:附件1:
账号权限创建账号权限创建/变更变更/撤销流程撤销流程
账号创建/变更/撤消流程
账号审批人账号管理员归档人申请人
开始
提交账
号权限
申请
账号权限变
更记录单
审批账号权限
创建/变更/撤
消申请
执行账号权
限创建/变更/
撤消操作
确认操
作结果
记录单上记
录操作结果
账号权限变
更记录单
归档结束
第二章第二章附件附件
2::
账号权限变更记录单账号权限变更记录单
变更类型□创建新账号
□账号权限变更
□撤销账号
□创建新用户角色
□用户角色权限变更
□撤销用户角色
申请人所属部门申请时间
账号使用人所属部门
账号/用户角色
名称
账号/用户角色
职责描述
账号类别□系统超级管理员
□系统管理员
□系统普通用户
□账号管理员
□其他_________________
系统名称系统类别□应用系统
□主机
□数据库
□其他_________________
权限有效期□长期
□自____年____月____日始至____年____月____日止
变更原因
变更内容
审批意见
变更结果
变更执行时间变更执
行人
备注
第三章第三章附件附件
3::
系统管理员账号移交流程系统管理员账号移交流程
系统管理员账号移交流程
归档人账号新拥有者部门负责人账号原拥有者
开始
填写账
号移交
单
账号移
交单
审批
将账号和口
令移交给接
任者
修改账
号口令
在账号
移交单
上签字
账号移
交单
归档结束
第四章第四章附件附件
4::
账号移交单账号移交单
账号名称
原拥有者新拥有者
账号移交原因
审批意见
移交时间
交出人签字
接收人修改密码时间
接受人签字