系統(tǒng)賬號管理辦法

《系統(tǒng)賬號管理辦法》由會員分享，可在線閱讀，更多相關(guān)《系統(tǒng)賬號管理辦法（14頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、系統(tǒng)賬號管理辦法系統(tǒng)賬號管理辦法文檔信息文檔信息機密級分類版本版本日期日期人員人員更新說明更新說明V1.02010-10-27版版本控制審核人審核人職務(wù)職務(wù)審核日期審核日期文文檔審核批準人批準人職務(wù)職務(wù)批準日期批準日期文文檔批準部門部門人員人員文檔權(quán)限文檔權(quán)限復(fù)分發(fā)控制復(fù)查時間復(fù)查時間復(fù)查人員復(fù)查人員復(fù)查結(jié)果復(fù)查結(jié)果復(fù)復(fù)查計劃第一章第一章 總總 則則第一條目的：為保障企業(yè)信息化系統(tǒng)的安全、穩(wěn)定運行，切實防范和降低因非法或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)的訪問而帶來的風(fēng)險，加強對系統(tǒng)訪問和權(quán)限分配的管理，根據(jù)相關(guān)規(guī)章制度，特制訂本管理辦法。第二條本管理辦法適用范圍：第三條系統(tǒng)范圍：支撐和企業(yè)信息化各系統(tǒng)，包

2、括 BOSS 系統(tǒng)、以及支撐以上各系統(tǒng)的網(wǎng)絡(luò)平臺系統(tǒng)；第四條人員范圍：對上述系統(tǒng)進行使用和開發(fā)維護的人員，包括各系統(tǒng)的最終用戶、系統(tǒng)賬號權(quán)限管理人員、提供系統(tǒng)集成、開發(fā)、維護、和技術(shù)支持服務(wù)的非本公司人員（第三方人員）。第二章第二章 相關(guān)定義相關(guān)定義第五條賬號是指每個可訪問系統(tǒng)資源的用戶在系統(tǒng)中的標識,可分為應(yīng)用系統(tǒng)賬號、操作系統(tǒng)賬號和數(shù)據(jù)庫賬號等。應(yīng)用系統(tǒng)賬號是指在應(yīng)用系統(tǒng)中建立的用戶標識，用戶可以通過應(yīng)用系統(tǒng)提供的前臺操作界面進行登錄，并使用授權(quán)的業(yè)務(wù)功能和訪問授權(quán)的業(yè)務(wù)數(shù)據(jù)；操作系統(tǒng)賬號是指在主機系統(tǒng)中建立的用戶標識，用戶可以登錄主機設(shè)備和發(fā)出操作指令；數(shù)據(jù)庫賬號是指在數(shù)據(jù)庫系統(tǒng)中建立的

3、用戶標識，用戶可以登錄數(shù)據(jù)庫系統(tǒng)并訪問其中的數(shù)據(jù)。第六條訪問權(quán)限是指賬號被賦予的可以訪問系統(tǒng)資源和使用系統(tǒng)功能的權(quán)利。第七條賬號管理員是指負責(zé)在系統(tǒng)中執(zhí)行賬號管理操作的人員,例如在系統(tǒng)中創(chuàng)建或撤銷賬號,分配或修改賬號權(quán)限,定期提供系統(tǒng)中的賬號和權(quán)限清單供審閱等。第八條賬號審批人員是指有權(quán)對賬號和權(quán)限的管理操作進行審批和決策的人員，包括各部門負責(zé)人，業(yè)務(wù)負責(zé)人、安全管理員或經(jīng)部門領(lǐng)導(dǎo)授權(quán)的人員等。第九條系統(tǒng)管理員是指負責(zé)對系統(tǒng)進行維護和管理的人員，例如操作系統(tǒng)管理員，數(shù)據(jù)庫管理員，賬號管理員等。第十條歸檔人是指負責(zé)執(zhí)行文檔資料歸檔保存操作的人員。第三章第三章 職責(zé)分工職責(zé)分工第十一條BOSS 系

4、統(tǒng)使用部門內(nèi)部應(yīng)用賬號和權(quán)限的審批和相關(guān)管理操作由各部門負責(zé).信息化部負責(zé)管理本部門應(yīng)用系統(tǒng)維護人員的賬號和權(quán)限，并執(zhí)行對各使用部門應(yīng)用賬號管理員的賬號和權(quán)限進行管理的相關(guān)操作.各需求部門負責(zé)明確應(yīng)用系統(tǒng)新增功能的開放范圍。第十二條BOSS 系統(tǒng)應(yīng)用賬號和權(quán)限的審批由各職能管理部門負責(zé)，各使用部門負責(zé)向職能管理部門提出應(yīng)用系統(tǒng)賬號和權(quán)限申請，信息化部負責(zé)在 BOSS 系統(tǒng)中執(zhí)行賬號和權(quán)限管理的相關(guān)操作。第十三條各系統(tǒng)操作系統(tǒng)層和數(shù)據(jù)庫層和網(wǎng)絡(luò)層賬號和權(quán)限的管理由信息化部負責(zé)。第四章第四章 基本原則基本原則第十四條對系統(tǒng)的訪問必須經(jīng)過授權(quán)，任何人不得在未經(jīng)授權(quán)的情況下在系統(tǒng)中運行未經(jīng)審批的程序。

5、授權(quán)可以通過書面文件，或通過員工按崗位的分工等方式實現(xiàn)。授權(quán)必須經(jīng)過正式審批方可生效。第十五條各系統(tǒng)必須采用用戶名和密碼認證方式實現(xiàn)登錄控制，對系統(tǒng)的訪問必須使用唯一的賬號和口令。第十六條各系統(tǒng)中不允許建立共享賬號，每個賬號都與唯一的用戶相對應(yīng)。擁有賬號的用戶不得隨意將賬號交于他人使用。第十七條賬號權(quán)限的分配應(yīng)遵循滿足需求的最小授權(quán)原則, 即為用戶分配權(quán)限時, 以其能進行系統(tǒng)管理、操作的最小權(quán)限進行授權(quán)，避免為其分配無關(guān)的或更大的權(quán)限。第十八條各系統(tǒng)（主機、數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用）都應(yīng)有完整的帳號權(quán)限分配現(xiàn)狀記錄表，且展示形式清晰，可以方便查詢到指定用戶的權(quán)限；第十九條每月備份帳號權(quán)限分配記錄表，

6、備份信息保留至少兩年；第二十條有關(guān)用戶登陸和賬號權(quán)限管理的相關(guān)操作在系統(tǒng)中要留有日志,日志至少保留兩年以上；第二十一條創(chuàng)立新用戶角色或?qū)τ脩艚M或用戶角色定義進行修改時，應(yīng)考慮不相容職責(zé)分工原則，例如操作人員與審核人員的分離、開發(fā)人員與維護人員的分離等。第二十二條當(dāng)員工工作調(diào)動或離職時，其在系統(tǒng)中的賬號應(yīng)立即撤銷，不得繼續(xù)將賬號分配給他人使用。第二十三條開發(fā)人員平時不得使用生產(chǎn)系統(tǒng)中的賬號。如需使用，則必須以書面形式提出申請,經(jīng)信息化部主管審批后,由系統(tǒng)管理員臨時為其開啟一個賬號.開發(fā)人員在訪問生產(chǎn)系統(tǒng)時必須由信息化部系統(tǒng)維護人員對其訪問進行監(jiān)督，在訪問結(jié)束后及時刪除賬號或更改口令,并對操作日志

7、進行審閱。第二十四條對操作系統(tǒng)級和數(shù)據(jù)庫層超級用戶的賬號(比如根用戶，系統(tǒng)管理員，安全管理員賬號，批處理用戶賬號，數(shù)據(jù)庫管理員) 由信息化部系統(tǒng)維護部經(jīng)理對正式書面審批，使用僅限于經(jīng)授權(quán)的系統(tǒng)管理人員;信息化部系統(tǒng)維護部經(jīng)理對操作系統(tǒng)層及數(shù)據(jù)庫層超級用戶賬號的清單每季進行復(fù)核并簽字確認，并對多余或不恰當(dāng)?shù)馁~號進行調(diào)整。 第二十五條對應(yīng)用系統(tǒng)層超級用戶的賬戶的建立是根據(jù)用戶工作職責(zé)，僅限于經(jīng)授權(quán)的應(yīng)用管理人員使用。各系統(tǒng)遵循如下規(guī)定：第二十六條信息化部業(yè)務(wù)維護部經(jīng)理或各業(yè)務(wù)部門主管對 BOSS 系統(tǒng)應(yīng)用管理員、工號管理員的授權(quán)審批建立正式的書面審批表格，并且對BOSS 系統(tǒng)管理員、工號管理員的清

8、單每季進行復(fù)核并簽字確認，并對多余或不恰當(dāng)?shù)馁~號進行調(diào)整；第二十七條如果系統(tǒng)中存在第三方廠商人員使用賬號的情況，應(yīng)和第三方廠商簽訂相關(guān)的安全保密協(xié)議，以合理確保第三方廠商能夠執(zhí)行的安全管理要求和職責(zé)不相容要求.如果外部人員需要通過遠程登錄訪問對系統(tǒng)進行操作及更新，局方人員在每次操作執(zhí)行時應(yīng)根據(jù)部門主管授權(quán)，臨時開通遠程登錄功能。局方人員對遠程登錄操作進行監(jiān)控（或事后及時審閱相應(yīng)的操作日志記錄）。在操作完成后，局方人員應(yīng)及時終止遠程登錄。第二十八條對于部分因系統(tǒng)接口原因在系統(tǒng)中預(yù)設(shè)的用戶賬號，應(yīng)對接口程序、腳本或相關(guān)設(shè)置進行加密或?qū)嵤┰L問控制，以防止未經(jīng)授權(quán)的訪問。對內(nèi)置賬號的目錄/文件訪問權(quán)限

9、嚴格限制在該賬號的功能范圍內(nèi)并定期檢查。在系統(tǒng)做定期維護時對密碼做更改。對該類賬號的操作要保留日志并定期審閱。第二十九條各賬號和權(quán)限的操作、管理人員應(yīng)嚴格遵守我公司相關(guān)管理規(guī)定，不得以任何非法形式操作非本人權(quán)限范圍內(nèi)之事。第五章第五章 賬號的建立、變更、撤銷和審閱賬號的建立、變更、撤銷和審閱第三十條當(dāng)需要在系統(tǒng)中創(chuàng)建新賬號或新用戶角色時，由申請人填寫賬號權(quán)限變更記錄單提出申請，明確要使用賬號的人員信息、賬號權(quán)限，或者新用戶角色的權(quán)限，經(jīng)賬號審批人員簽字審批后，由賬號管理員在系統(tǒng)中執(zhí)行賬號創(chuàng)建操作。執(zhí)行完畢后，在記錄單上簽字后歸檔。第三十一條各系統(tǒng)普通用戶賬號管理由部門主管授權(quán)的帳號管理員負責(zé)。

10、賬號的權(quán)限進行調(diào)整或增加/刪除，須由業(yè)務(wù)部門主管對權(quán)限變更記錄單審批確認后，由帳號管理員在系統(tǒng)中進行設(shè)置。第三十二條當(dāng)需要在系統(tǒng)中進行賬號權(quán)限或用戶角色權(quán)限變更時,由申請人填寫賬號權(quán)限變更記錄單提出申請, 明確變更內(nèi)容, 經(jīng)賬號審批人員簽字審批后，由賬號管理員在系統(tǒng)中執(zhí)行賬號變更操作。執(zhí)行完畢后，在記錄單上簽字后歸檔。第三十三條當(dāng)發(fā)生員工調(diào)動或離職時,原所在部門須在調(diào)動離職批準后 2 日內(nèi)，由帳號管理員對該人員的帳號進行刪除或者禁止使用管理處理。第三十四條當(dāng)系統(tǒng)管理員離職或調(diào)職時，應(yīng)對此類關(guān)鍵賬號進行禁用處理并保留相關(guān)賬號操作日志待查，接任的管理員經(jīng)過申請審批流程獲得新的管理員賬號。如果管理員

11、賬號無法變更或禁用（如 root 賬號，DBA 賬號等）則建立正式的賬號移交流程，由部門負責(zé)人員對賬號移交單簽字認可后，離職的系統(tǒng)管理員將賬號移交給接任的系統(tǒng)管理員。接任的系統(tǒng)管理員立即更改該管理員賬號密碼，并在賬號移交單上簽字后歸檔。第三十五條當(dāng)應(yīng)用系統(tǒng)新增功能涉及到賬號權(quán)限分配時,由需求部門(BOSS 系統(tǒng))在正式文件中明確新增功能在系統(tǒng)中的開放范圍，由信息化部應(yīng)用系統(tǒng)賬號管理員在系統(tǒng)中執(zhí)行新增功能訪問權(quán)限分配工作。第三十六條當(dāng)在某些情況下需要臨時授權(quán)時，由申請人填寫賬號權(quán)限變更記錄單，明確申請原因、授權(quán)賬號、權(quán)限內(nèi)容和權(quán)限使用期限等信息，經(jīng)賬號審批人員簽字審批后，由賬號管理員在系統(tǒng)中執(zhí)行

12、權(quán)限分配工作。當(dāng)工作結(jié)束后，應(yīng)由賬號管理員立即將臨時權(quán)限收回，并在記錄單上記錄回收情況和簽字后歸檔保存。第三十七條當(dāng)某用戶需要超級權(quán)限時，應(yīng)在其原有的賬號之外，另行設(shè)置一個授予了超級權(quán)限的特殊賬號。第三十八條信息化部每半年將各系統(tǒng)中的賬號清單（包括應(yīng)用層、數(shù)據(jù)庫層和操作系統(tǒng)層的超級用戶,系統(tǒng)管理員和普通用戶在內(nèi)的所有賬號）提供給各部門, 由賬號所在部門領(lǐng)導(dǎo)或授權(quán)人員進行復(fù)核和簽字確認, 對多余或不恰當(dāng)?shù)馁~號須依照賬號變更或撤銷流程進行調(diào)整, 并將結(jié)果匯總至信息化部保存。第三十九條信息化部每半年或業(yè)務(wù)流程發(fā)生重大變更時, 將系統(tǒng)中的賬號訪問權(quán)限清單提供給各部門,由賬號所在部門進行審閱簽字, 以避

13、免在賬號的權(quán)限中有不相容職責(zé)的存在。如發(fā)現(xiàn)不相容職責(zé)須依照賬號和權(quán)限變更流程進行調(diào)整, 并將結(jié)果匯總至信息化部保存。第四十條對于采取用戶角色來向用戶分配訪問權(quán)限的系統(tǒng),信息化部應(yīng)建立系統(tǒng)權(quán)限和用戶職責(zé)（或用戶角色）矩陣表, 用來反映用戶職責(zé)（或用戶角色）與其所能進行的操作權(quán)限的對應(yīng)關(guān)系該矩陣表由負責(zé)賬號權(quán)限審批的主管部門負責(zé)人定期(每三個月一次）審閱簽字確認。賬號管理員負責(zé)維護系統(tǒng)中的用戶權(quán)限與審閱后的矩陣表保持一致。第六章第六章 口令管理口令管理第四十一條賬號口令擁有者必須嚴格確?？诹畹陌踩Ｃ苄?。一旦有跡象表明口令可能被泄露，用戶必須立即修改口令。第四十二條系統(tǒng)中的賬號口令應(yīng)避免使用弱口令

14、.口令長度不得低于 6 位，須由數(shù)字、字母組成,并至少每 90 天進行強制更新,且更新時不得使用最近 5 次以內(nèi)重復(fù)使用的口令。第四十三條賬號的初始口令應(yīng)以安全途徑告知賬號使用者.賬號使用者在首次登錄系統(tǒng)時應(yīng)立即修改賬號口令。第四十四條若登錄系統(tǒng)時連續(xù) 5 次口令輸入錯誤，則應(yīng)暫停該工號登錄。第四十五條超級賬號口令應(yīng)由賬號管理員負責(zé)維護。嚴禁未經(jīng)賬號審批人員的許可使用超級賬號及口令。如發(fā)生丟失或遺忘口令的情況，超級賬號管理員應(yīng)立即通知賬號審批人員重置密碼。第四十六條口令在系統(tǒng)中保存或傳輸時,必須采取安全措施以保證賬號的安全性,例如對口令進行加密等. 除非可以安全保管，否則不得將口令記錄在紙張等

15、一切可視介質(zhì)上。第四十七條當(dāng)程序內(nèi)的賬號密碼需要保存在配置文件里時，文件屬性應(yīng)置為不可讀,并且只能由對應(yīng)程序訪問。程序所使用到的賬號及口令不能用于日常運維管理，不能供用戶使用。程序所使用到的賬號及口令禁止擴散。在系統(tǒng)做定期維護時對密碼做更改。第七章第七章 附附 則則第四十八條本方針由 XXXX 有限公司制定并負責(zé)解釋和修訂。第四十九條本方針自發(fā)布之日起執(zhí)行。第一章第一章附件：附件： 賬號權(quán)限創(chuàng)建賬號權(quán)限創(chuàng)建/變更變更/撤銷流程撤銷流程賬號創(chuàng)建/變更/撤消流程賬號審批人賬號管理員歸檔人申請人開始提交賬號權(quán)限申請賬號權(quán)限變更記錄單審批賬號權(quán)限創(chuàng)建/變更/撤消申請執(zhí)行賬號權(quán)限創(chuàng)建/變更/撤消操作確認

16、操作結(jié)果記錄單上記錄操作結(jié)果賬號權(quán)限變更記錄單歸檔結(jié)束第二章第二章附件附件 2： 賬號權(quán)限變更記錄單賬號權(quán)限變更記錄單變更類型創(chuàng)建新賬號 賬號權(quán)限變更 撤銷賬號創(chuàng)建新用戶角色 用戶角色權(quán)限變更 撤銷用戶角色申請人所屬部門申請時間賬號使用人所屬部門賬號/用戶角色名稱賬號/用戶角色職責(zé)描述賬號類別系統(tǒng)超級管理員 系統(tǒng)管理員 系統(tǒng)普通用戶賬號管理員 其他_系統(tǒng)名稱系統(tǒng)類別應(yīng)用系統(tǒng) 主機 數(shù)據(jù)庫其他_權(quán)限有效期長期自_年_月_日始至_年_月_日止變更原因變更內(nèi)容審批意見變更結(jié)果變更執(zhí)行時間變更執(zhí)行人備注第三章第三章附件附件 3： 系統(tǒng)管理員賬號移交流程系統(tǒng)管理員賬號移交流程系統(tǒng)管理員賬號移交流程歸檔人賬號新?lián)碛姓卟块T負責(zé)人賬號原擁有者開始填寫賬號移交單賬號移交單審批將賬號和口令移交給接任者修改賬號口令在賬號移交單上簽字賬號移交單歸檔結(jié)束第四章第四章附件附件 4： 賬號移交單賬號移交單賬號名稱原擁有者新?lián)碛姓哔~號移交原因?qū)徟庖娨平粫r間交出人簽字接收人修改密碼時間接受人簽字