系統(tǒng)賬號管理辦法

《系統(tǒng)賬號管理辦法》由會員分享，可在線閱讀，更多相關《系統(tǒng)賬號管理辦法（14頁珍藏版）》請在裝配圖網上搜索。

1、系統(tǒng)賬號管理辦法系統(tǒng)賬號管理辦法文檔信息文檔信息機密級分類版本版本日期日期人員人員更新說明更新說明V1.02010-10-27版版本控制審核人審核人職務職務審核日期審核日期文文檔審核批準人批準人職務職務批準日期批準日期文文檔批準部門部門人員人員文檔權限文檔權限復分發(fā)控制復查時間復查時間復查人員復查人員復查結果復查結果復復查計劃第一章第一章 總總 則則第一條目的：為保障企業(yè)信息化系統(tǒng)的安全、穩(wěn)定運行，切實防范和降低因非法或不適當的對系統(tǒng)或數據的訪問而帶來的風險，加強對系統(tǒng)訪問和權限分配的管理，根據相關規(guī)章制度，特制訂本管理辦法。第二條本管理辦法適用范圍：第三條系統(tǒng)范圍：支撐和企業(yè)信息化各系統(tǒng)，包

2、括 BOSS 系統(tǒng)、以及支撐以上各系統(tǒng)的網絡平臺系統(tǒng)；第四條人員范圍：對上述系統(tǒng)進行使用和開發(fā)維護的人員，包括各系統(tǒng)的最終用戶、系統(tǒng)賬號權限管理人員、提供系統(tǒng)集成、開發(fā)、維護、和技術支持服務的非本公司人員（第三方人員）。第二章第二章 相關定義相關定義第五條賬號是指每個可訪問系統(tǒng)資源的用戶在系統(tǒng)中的標識,可分為應用系統(tǒng)賬號、操作系統(tǒng)賬號和數據庫賬號等。應用系統(tǒng)賬號是指在應用系統(tǒng)中建立的用戶標識，用戶可以通過應用系統(tǒng)提供的前臺操作界面進行登錄，并使用授權的業(yè)務功能和訪問授權的業(yè)務數據；操作系統(tǒng)賬號是指在主機系統(tǒng)中建立的用戶標識，用戶可以登錄主機設備和發(fā)出操作指令；數據庫賬號是指在數據庫系統(tǒng)中建立的

3、用戶標識，用戶可以登錄數據庫系統(tǒng)并訪問其中的數據。第六條訪問權限是指賬號被賦予的可以訪問系統(tǒng)資源和使用系統(tǒng)功能的權利。第七條賬號管理員是指負責在系統(tǒng)中執(zhí)行賬號管理操作的人員,例如在系統(tǒng)中創(chuàng)建或撤銷賬號,分配或修改賬號權限,定期提供系統(tǒng)中的賬號和權限清單供審閱等。第八條賬號審批人員是指有權對賬號和權限的管理操作進行審批和決策的人員，包括各部門負責人，業(yè)務負責人、安全管理員或經部門領導授權的人員等。第九條系統(tǒng)管理員是指負責對系統(tǒng)進行維護和管理的人員，例如操作系統(tǒng)管理員，數據庫管理員，賬號管理員等。第十條歸檔人是指負責執(zhí)行文檔資料歸檔保存操作的人員。第三章第三章 職責分工職責分工第十一條BOSS 系

4、統(tǒng)使用部門內部應用賬號和權限的審批和相關管理操作由各部門負責.信息化部負責管理本部門應用系統(tǒng)維護人員的賬號和權限，并執(zhí)行對各使用部門應用賬號管理員的賬號和權限進行管理的相關操作.各需求部門負責明確應用系統(tǒng)新增功能的開放范圍。第十二條BOSS 系統(tǒng)應用賬號和權限的審批由各職能管理部門負責，各使用部門負責向職能管理部門提出應用系統(tǒng)賬號和權限申請，信息化部負責在 BOSS 系統(tǒng)中執(zhí)行賬號和權限管理的相關操作。第十三條各系統(tǒng)操作系統(tǒng)層和數據庫層和網絡層賬號和權限的管理由信息化部負責。第四章第四章 基本原則基本原則第十四條對系統(tǒng)的訪問必須經過授權，任何人不得在未經授權的情況下在系統(tǒng)中運行未經審批的程序。

5、授權可以通過書面文件，或通過員工按崗位的分工等方式實現。授權必須經過正式審批方可生效。第十五條各系統(tǒng)必須采用用戶名和密碼認證方式實現登錄控制，對系統(tǒng)的訪問必須使用唯一的賬號和口令。第十六條各系統(tǒng)中不允許建立共享賬號，每個賬號都與唯一的用戶相對應。擁有賬號的用戶不得隨意將賬號交于他人使用。第十七條賬號權限的分配應遵循滿足需求的最小授權原則, 即為用戶分配權限時, 以其能進行系統(tǒng)管理、操作的最小權限進行授權，避免為其分配無關的或更大的權限。第十八條各系統(tǒng)（主機、數據庫、網絡、應用）都應有完整的帳號權限分配現狀記錄表，且展示形式清晰，可以方便查詢到指定用戶的權限；第十九條每月備份帳號權限分配記錄表，

6、備份信息保留至少兩年；第二十條有關用戶登陸和賬號權限管理的相關操作在系統(tǒng)中要留有日志,日志至少保留兩年以上；第二十一條創(chuàng)立新用戶角色或對用戶組或用戶角色定義進行修改時，應考慮不相容職責分工原則，例如操作人員與審核人員的分離、開發(fā)人員與維護人員的分離等。第二十二條當員工工作調動或離職時，其在系統(tǒng)中的賬號應立即撤銷，不得繼續(xù)將賬號分配給他人使用。第二十三條開發(fā)人員平時不得使用生產系統(tǒng)中的賬號。如需使用，則必須以書面形式提出申請,經信息化部主管審批后,由系統(tǒng)管理員臨時為其開啟一個賬號.開發(fā)人員在訪問生產系統(tǒng)時必須由信息化部系統(tǒng)維護人員對其訪問進行監(jiān)督，在訪問結束后及時刪除賬號或更改口令,并對操作日志

7、進行審閱。第二十四條對操作系統(tǒng)級和數據庫層超級用戶的賬號(比如根用戶，系統(tǒng)管理員，安全管理員賬號，批處理用戶賬號，數據庫管理員) 由信息化部系統(tǒng)維護部經理對正式書面審批，使用僅限于經授權的系統(tǒng)管理人員;信息化部系統(tǒng)維護部經理對操作系統(tǒng)層及數據庫層超級用戶賬號的清單每季進行復核并簽字確認，并對多余或不恰當的賬號進行調整。 第二十五條對應用系統(tǒng)層超級用戶的賬戶的建立是根據用戶工作職責，僅限于經授權的應用管理人員使用。各系統(tǒng)遵循如下規(guī)定：第二十六條信息化部業(yè)務維護部經理或各業(yè)務部門主管對 BOSS 系統(tǒng)應用管理員、工號管理員的授權審批建立正式的書面審批表格，并且對BOSS 系統(tǒng)管理員、工號管理員的清

8、單每季進行復核并簽字確認，并對多余或不恰當的賬號進行調整；第二十七條如果系統(tǒng)中存在第三方廠商人員使用賬號的情況，應和第三方廠商簽訂相關的安全保密協議，以合理確保第三方廠商能夠執(zhí)行的安全管理要求和職責不相容要求.如果外部人員需要通過遠程登錄訪問對系統(tǒng)進行操作及更新，局方人員在每次操作執(zhí)行時應根據部門主管授權，臨時開通遠程登錄功能。局方人員對遠程登錄操作進行監(jiān)控（或事后及時審閱相應的操作日志記錄）。在操作完成后，局方人員應及時終止遠程登錄。第二十八條對于部分因系統(tǒng)接口原因在系統(tǒng)中預設的用戶賬號，應對接口程序、腳本或相關設置進行加密或實施訪問控制，以防止未經授權的訪問。對內置賬號的目錄/文件訪問權限

9、嚴格限制在該賬號的功能范圍內并定期檢查。在系統(tǒng)做定期維護時對密碼做更改。對該類賬號的操作要保留日志并定期審閱。第二十九條各賬號和權限的操作、管理人員應嚴格遵守我公司相關管理規(guī)定，不得以任何非法形式操作非本人權限范圍內之事。第五章第五章 賬號的建立、變更、撤銷和審閱賬號的建立、變更、撤銷和審閱第三十條當需要在系統(tǒng)中創(chuàng)建新賬號或新用戶角色時，由申請人填寫賬號權限變更記錄單提出申請，明確要使用賬號的人員信息、賬號權限，或者新用戶角色的權限，經賬號審批人員簽字審批后，由賬號管理員在系統(tǒng)中執(zhí)行賬號創(chuàng)建操作。執(zhí)行完畢后，在記錄單上簽字后歸檔。第三十一條各系統(tǒng)普通用戶賬號管理由部門主管授權的帳號管理員負責。

10、賬號的權限進行調整或增加/刪除，須由業(yè)務部門主管對權限變更記錄單審批確認后，由帳號管理員在系統(tǒng)中進行設置。第三十二條當需要在系統(tǒng)中進行賬號權限或用戶角色權限變更時,由申請人填寫賬號權限變更記錄單提出申請, 明確變更內容, 經賬號審批人員簽字審批后，由賬號管理員在系統(tǒng)中執(zhí)行賬號變更操作。執(zhí)行完畢后，在記錄單上簽字后歸檔。第三十三條當發(fā)生員工調動或離職時,原所在部門須在調動離職批準后 2 日內，由帳號管理員對該人員的帳號進行刪除或者禁止使用管理處理。第三十四條當系統(tǒng)管理員離職或調職時，應對此類關鍵賬號進行禁用處理并保留相關賬號操作日志待查，接任的管理員經過申請審批流程獲得新的管理員賬號。如果管理員

11、賬號無法變更或禁用（如 root 賬號，DBA 賬號等）則建立正式的賬號移交流程，由部門負責人員對賬號移交單簽字認可后，離職的系統(tǒng)管理員將賬號移交給接任的系統(tǒng)管理員。接任的系統(tǒng)管理員立即更改該管理員賬號密碼，并在賬號移交單上簽字后歸檔。第三十五條當應用系統(tǒng)新增功能涉及到賬號權限分配時,由需求部門(BOSS 系統(tǒng))在正式文件中明確新增功能在系統(tǒng)中的開放范圍，由信息化部應用系統(tǒng)賬號管理員在系統(tǒng)中執(zhí)行新增功能訪問權限分配工作。第三十六條當在某些情況下需要臨時授權時，由申請人填寫賬號權限變更記錄單，明確申請原因、授權賬號、權限內容和權限使用期限等信息，經賬號審批人員簽字審批后，由賬號管理員在系統(tǒng)中執(zhí)行

12、權限分配工作。當工作結束后，應由賬號管理員立即將臨時權限收回，并在記錄單上記錄回收情況和簽字后歸檔保存。第三十七條當某用戶需要超級權限時，應在其原有的賬號之外，另行設置一個授予了超級權限的特殊賬號。第三十八條信息化部每半年將各系統(tǒng)中的賬號清單（包括應用層、數據庫層和操作系統(tǒng)層的超級用戶,系統(tǒng)管理員和普通用戶在內的所有賬號）提供給各部門, 由賬號所在部門領導或授權人員進行復核和簽字確認, 對多余或不恰當的賬號須依照賬號變更或撤銷流程進行調整, 并將結果匯總至信息化部保存。第三十九條信息化部每半年或業(yè)務流程發(fā)生重大變更時, 將系統(tǒng)中的賬號訪問權限清單提供給各部門,由賬號所在部門進行審閱簽字, 以避

13、免在賬號的權限中有不相容職責的存在。如發(fā)現不相容職責須依照賬號和權限變更流程進行調整, 并將結果匯總至信息化部保存。第四十條對于采取用戶角色來向用戶分配訪問權限的系統(tǒng),信息化部應建立系統(tǒng)權限和用戶職責（或用戶角色）矩陣表, 用來反映用戶職責（或用戶角色）與其所能進行的操作權限的對應關系該矩陣表由負責賬號權限審批的主管部門負責人定期(每三個月一次）審閱簽字確認。賬號管理員負責維護系統(tǒng)中的用戶權限與審閱后的矩陣表保持一致。第六章第六章 口令管理口令管理第四十一條賬號口令擁有者必須嚴格確?？诹畹陌踩Ｃ苄?。一旦有跡象表明口令可能被泄露，用戶必須立即修改口令。第四十二條系統(tǒng)中的賬號口令應避免使用弱口令

14、.口令長度不得低于 6 位，須由數字、字母組成,并至少每 90 天進行強制更新,且更新時不得使用最近 5 次以內重復使用的口令。第四十三條賬號的初始口令應以安全途徑告知賬號使用者.賬號使用者在首次登錄系統(tǒng)時應立即修改賬號口令。第四十四條若登錄系統(tǒng)時連續(xù) 5 次口令輸入錯誤，則應暫停該工號登錄。第四十五條超級賬號口令應由賬號管理員負責維護。嚴禁未經賬號審批人員的許可使用超級賬號及口令。如發(fā)生丟失或遺忘口令的情況，超級賬號管理員應立即通知賬號審批人員重置密碼。第四十六條口令在系統(tǒng)中保存或傳輸時,必須采取安全措施以保證賬號的安全性,例如對口令進行加密等. 除非可以安全保管，否則不得將口令記錄在紙張等

15、一切可視介質上。第四十七條當程序內的賬號密碼需要保存在配置文件里時，文件屬性應置為不可讀,并且只能由對應程序訪問。程序所使用到的賬號及口令不能用于日常運維管理，不能供用戶使用。程序所使用到的賬號及口令禁止擴散。在系統(tǒng)做定期維護時對密碼做更改。第七章第七章 附附 則則第四十八條本方針由 XXXX 有限公司制定并負責解釋和修訂。第四十九條本方針自發(fā)布之日起執(zhí)行。第一章第一章附件：附件： 賬號權限創(chuàng)建賬號權限創(chuàng)建/變更變更/撤銷流程撤銷流程賬號創(chuàng)建/變更/撤消流程賬號審批人賬號管理員歸檔人申請人開始提交賬號權限申請賬號權限變更記錄單審批賬號權限創(chuàng)建/變更/撤消申請執(zhí)行賬號權限創(chuàng)建/變更/撤消操作確認

16、操作結果記錄單上記錄操作結果賬號權限變更記錄單歸檔結束第二章第二章附件附件 2： 賬號權限變更記錄單賬號權限變更記錄單變更類型創(chuàng)建新賬號 賬號權限變更 撤銷賬號創(chuàng)建新用戶角色 用戶角色權限變更 撤銷用戶角色申請人所屬部門申請時間賬號使用人所屬部門賬號/用戶角色名稱賬號/用戶角色職責描述賬號類別系統(tǒng)超級管理員 系統(tǒng)管理員 系統(tǒng)普通用戶賬號管理員 其他_系統(tǒng)名稱系統(tǒng)類別應用系統(tǒng) 主機 數據庫其他_權限有效期長期自_年_月_日始至_年_月_日止變更原因變更內容審批意見變更結果變更執(zhí)行時間變更執(zhí)行人備注第三章第三章附件附件 3： 系統(tǒng)管理員賬號移交流程系統(tǒng)管理員賬號移交流程系統(tǒng)管理員賬號移交流程歸檔人賬號新擁有者部門負責人賬號原擁有者開始填寫賬號移交單賬號移交單審批將賬號和口令移交給接任者修改賬號口令在賬號移交單上簽字賬號移交單歸檔結束第四章第四章附件附件 4： 賬號移交單賬號移交單賬號名稱原擁有者新擁有者賬號移交原因審批意見移交時間交出人簽字接收人修改密碼時間接受人簽字