账号口令和权限管理制度，密码管理条例

为加强重庆XX中学信息系统账号和口令管理，通过控制用户口令、权限，实现控制访问权限分配，防止对重庆XX中学网络的非授权访问，特制订本管理办法。

第一章 目的

第一条 为加强重庆XX中学信息系统账号和口令管理，通过控制用户口令、权限，实现控制访问权限分配，防止对重庆XX中学网络的非授权访问，特制订本管理办法。

第二章 范围

第二条 所有使用重庆XX中学网络信息系统的人员。

第三章 职责

第三条 重庆XX中学所有使用信息系统的人员均需遵守本管理办法规定，网络安全办公室负责建立账号和口令管理的规范并推动执行、审核和检查落地执行情况。

第四章 管理细则

第四条 术语和定义

内部网络：是指在重庆XX中学内部所有客户端等组成的局域网。包括但不限于数据库系统等。

第五条 用户注册

1. 新用户必须经网络管理员授权接入，否则不允许入网。
2. 用户账号由网络管理员在该用户上岗使用重庆XX中学网络系统前建立,命名原则为职工工号。
3. 一自然人对应一个系统账号，以便将用户与其操作联系起来，使用户对其操作行为负责。
4. 用户因工作变更或离开重庆XX中学时， 管理员要及时取消或者锁定该用户所有账号，对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避风险。
5. 系统管理员应定期检查并取消多余的用户账号。

第六条 权限管理

1. 网络安全办公室系统管理员负责分配新用户系统权 限，负责审批用户权限变更申请是否与信息安全策略相违背。
2. 特权用户必须按授权程序通过系统等部门主管批准， 才可给予相应的权限。
3. 系统管理员应保留所有特权用户的授权程序与记录。
4. 权限设定要明细化，尽可能减少因拥有的权限化分较粗带来的不正当信息访问或误操作等现象的发生。若某些权限无法细分，则需加强对用户的单独监控。
5. 只有工作需要的信息访问要求，才可授权。每个人分配的权限以完成本岗位工作最低标准为准。
6. 系统管理员对分配的所有权限记录进行维护。不符合授权程序，则不授予权限。
7. 对于重庆XX中学外的用户，需要访问重庆XX中学内部资源时，需要由用户的接待者申请为其办理授审批程序。

第七条 口令的选择

口令的选择应参考以下规则：

1. 最少要有 8 个字符，必须由字母、数字、大小写以及特殊字符组成。
2. 不要使用别人通过个人相关信息（如姓名、电话号码、生日等）容易猜出或破解的口令。

第八条 口令管理和使用

1. 员工应了解进行有效访问控制的责任，特别是口令使用和员工设备安全的责任；
2. 员工应保证口令安全，不得向其他任何人泄漏。对于泄漏口令向造成的损失，由员工本人负责；
3. 不要共享个人口令；
4. 应避免在纸上记录口令，或以明文方式记录计算机内；
5. 不要在任何自动登录程序中使用口令，如在宏或功能键中存储；
6. 用户忘记口令时，管理员必须在对该用户进行适当的身份识别后才能向其提供临时口令；
7. 常规情况下，用户自主口令至少每季度更改一次， 系统口令可半年更改一次，且避免再次使用旧口令或循环使用旧口令；
8. 允许用户选择和变更他们自己的口令，并且包括确认程序，以便考虑到输入出错的情况；
9. 在第一次登录时强制用户变更临时口令；
10. 存储口令文件的存储应和系统数据相分开，并采用安全方式存储和传输口令。

第九条 用户访问权限检查

1. 定期检查用户的账号及其权限，保留检查记录；
2. 重点检查有特权的账号，是否存在特权使用期限过期。

第十条 帐号建立流程

新建账号由个人或使用人提交申请单，经部门领导、信息中心领导审批确认后，由网络安全办公室指定专人进行账号开通、权限配置工作，并反馈申请人配置结果。

第十一条 帐号删除流程

管理员定期（半年）对现有账号进行清理，发现有超过6 个月未登录/使用的账号对其禁用，期间账户所有者可申请账号的重新启用，禁用的账号将保存 6 个月，若仍未启用将进行删除操作。

管理制度 网络安全

上一篇：恶意代码防范管理制度

下一篇：网络信息系统变更管理程序

相关文章

• 

  电信和互联网企业网络数据安全合规性评估要点（2020 版）

  为进一步指导电信和互联网企业做好网络数据安全合规性评估工作，提升数据安全保护水平，依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规，参考《信息安全技术个人信息安全规范》等标准规范，制定本要点，供各企业在网络数据安全合规性评估中使用。 《电信和互联网企业网络数据安全合规性评估要点（2020 版）》主要包括以下几个方面：

• 

  安全和监控中心管理制度

  一章 目的 第一条 安全和监控中心管理制度的建立旨在实现重庆XX中学以资产和风险为核心的安全风险监控管理，并将之规范化、常态化。 第二章 范围 第二条 本规范适用于重庆XX中学对于信息系统的综合安全管理、风险监控管理，主要适用于网络安全办公室的日常综合管理。 第三章 职责 第三条 结合现有信息安全管理现状，网络安全办公室负责整合现有的信息安全管理技术解决方案，初步建成重庆XX中学的信息安全监控和管理中心。 第四章 管理细则 第四条 因重庆XX中学目前还未部署安全监控和管理中心，需要通过管理手段弥…

• 

  网络机房管理制度模板

  本《网络机房管理制度》是我司此前应用与一普通中学的弱电工程项目中，系作为机房建设服务内容的一部分。本网络机房管理制度通用性强，适合各种应用环境，内容不多不少做一块挂墙的展板刚刚合适，各位同行可结合实际做一定的修改。 结合个人经验，我们认为再好的物理、设备环境，如果缺失了对应的管理制度，那么这个系统都不堪一击，要么逐渐臃肿失控，要么被攻击控制。 网络机房是重要基础设施。为规范管理，特制定本制度。 一、网络机房是重点消防安全场所，严禁携带易燃、易爆、易腐蚀、强磁物品及与工作无关物品进入机房，机房内严…

• 

  信息工程中保证工程质量的技术措施

  施工质量管理是施工组织设计重要的一环。本项目工程建设要上一个新台阶，必须大力加强质量意识的建设。质量不断改进和提高，是我公司经营管理工作中一个永恒的主题，也是工程项目建设永远不老的课题。 1. 保证工程质量的技术措施 加强技术管理，严格执行各种施工安装规范标准和操作规程，加强工程通病的预控工作，抓紧实现一次合格制度，坚持分项、分部的工程安装质量评定工作，及时填写各项工程验收报表、记录，在施工中加强资料收集和管理工作及时总结经验。 强化全体施工人员的质量意识，配备有经验的工程技术人员和技师工长，坚…

• 

  网络安全服务项目的服务及质量需求（安全服务方案模板）

  为深入贯彻习近平总书记关于网络安全的重要指示精神，严格落实党中央、国务院和市委、市政府关于网络安全的决策部署，重庆市国资委下发了关于市属国有企业网络安全的通知。通知中指出，国有企业应当深刻认识到网络安全工作的重要意义、健全网络安全制度体系、健全风险评估与安全审计制度、建立重要岗位人员审查制度等要求。 1. 网络安全服务项目服务管理 （1）服务交付计划制定：在整个服务期的开始时，根据采购人需求提供年度服务交付计划，并根据需要进行更新。 （2）季度服务报告：通过技术专家和客户相关人员的准备，与采购人…

• 

  信息系统运维和设备维保项目的服务内容及质量要求

  本次中评科技提供一个通用的信息系统运维和设备维保项目的服务内容及质量要求模板，本例是以采购人的角度及口吻写的一个简化的版本，各位在项目上可以做一个参考，并灵活调整删改。 1. 信息系统运维和设备维保项目服务范围 本项目服务范围包括 XXX 内网机房、外网机房（均含综合楼、XXX 楼层机房）内的 IT 基础设施（含空调、UPS、电池等基础设施）及各类非国产 IT 设备以及部分应用系统等的运行监控、调试和故障排除等日常运营维护，以及部分终端计算机服务。 服务内容包括：2 人驻场服务，7*24 小时现…