账号口令和权限管理制度，密码管理条例

为加强重庆XX中学信息系统账号和口令管理，通过控制用户口令、权限，实现控制访问权限分配，防止对重庆XX中学网络的非授权访问，特制订本管理办法。

第一章 目的

第一条 为加强重庆XX中学信息系统账号和口令管理，通过控制用户口令、权限，实现控制访问权限分配，防止对重庆XX中学网络的非授权访问，特制订本管理办法。

第二章 范围

第二条 所有使用重庆XX中学网络信息系统的人员。

第三章 职责

第三条 重庆XX中学所有使用信息系统的人员均需遵守本管理办法规定，网络安全办公室负责建立账号和口令管理的规范并推动执行、审核和检查落地执行情况。

第四章 管理细则

第四条 术语和定义

内部网络：是指在重庆XX中学内部所有客户端等组成的局域网。包括但不限于数据库系统等。

第五条 用户注册

1. 新用户必须经网络管理员授权接入，否则不允许入网。
2. 用户账号由网络管理员在该用户上岗使用重庆XX中学网络系统前建立,命名原则为职工工号。
3. 一自然人对应一个系统账号，以便将用户与其操作联系起来，使用户对其操作行为负责。
4. 用户因工作变更或离开重庆XX中学时， 管理员要及时取消或者锁定该用户所有账号，对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避风险。
5. 系统管理员应定期检查并取消多余的用户账号。

第六条 权限管理

1. 网络安全办公室系统管理员负责分配新用户系统权 限，负责审批用户权限变更申请是否与信息安全策略相违背。
2. 特权用户必须按授权程序通过系统等部门主管批准， 才可给予相应的权限。
3. 系统管理员应保留所有特权用户的授权程序与记录。
4. 权限设定要明细化，尽可能减少因拥有的权限化分较粗带来的不正当信息访问或误操作等现象的发生。若某些权限无法细分，则需加强对用户的单独监控。
5. 只有工作需要的信息访问要求，才可授权。每个人分配的权限以完成本岗位工作最低标准为准。
6. 系统管理员对分配的所有权限记录进行维护。不符合授权程序，则不授予权限。
7. 对于重庆XX中学外的用户，需要访问重庆XX中学内部资源时，需要由用户的接待者申请为其办理授审批程序。

第七条 口令的选择

口令的选择应参考以下规则：

1. 最少要有 8 个字符，必须由字母、数字、大小写以及特殊字符组成。
2. 不要使用别人通过个人相关信息（如姓名、电话号码、生日等）容易猜出或破解的口令。

第八条 口令管理和使用

1. 员工应了解进行有效访问控制的责任，特别是口令使用和员工设备安全的责任；
2. 员工应保证口令安全，不得向其他任何人泄漏。对于泄漏口令向造成的损失，由员工本人负责；
3. 不要共享个人口令；
4. 应避免在纸上记录口令，或以明文方式记录计算机内；
5. 不要在任何自动登录程序中使用口令，如在宏或功能键中存储；
6. 用户忘记口令时，管理员必须在对该用户进行适当的身份识别后才能向其提供临时口令；
7. 常规情况下，用户自主口令至少每季度更改一次， 系统口令可半年更改一次，且避免再次使用旧口令或循环使用旧口令；
8. 允许用户选择和变更他们自己的口令，并且包括确认程序，以便考虑到输入出错的情况；
9. 在第一次登录时强制用户变更临时口令；
10. 存储口令文件的存储应和系统数据相分开，并采用安全方式存储和传输口令。

第九条 用户访问权限检查

1. 定期检查用户的账号及其权限，保留检查记录；
2. 重点检查有特权的账号，是否存在特权使用期限过期。

第十条 帐号建立流程

新建账号由个人或使用人提交申请单，经部门领导、信息中心领导审批确认后，由网络安全办公室指定专人进行账号开通、权限配置工作，并反馈申请人配置结果。

第十一条 帐号删除流程

管理员定期（半年）对现有账号进行清理，发现有超过6 个月未登录/使用的账号对其禁用，期间账户所有者可申请账号的重新启用，禁用的账号将保存 6 个月，若仍未启用将进行删除操作。

管理制度 网络安全

上一篇：恶意代码防范管理制度

下一篇：网络信息系统变更管理程序

相关文章

• 

  GB/T 24364-2023 信息安全技术 信息安全风险管理实施指南

  《GB/T 24364-2023 信息安全技术 信息安全风险管理实施指南》是中国国家标准委员会发布的最新信息安全标准之一，旨在为各类组织提供关于信息安全风险管理的实施指导。该标准帮助组织建立有效的风险管理体系，识别、评估、控制和监测信息安全风险，从而提升组织的整体安全防护能力。 1. 标准背景与意义 在数字化转型的过程中，信息安全已成为企业和组织的关键议题。随着网络攻击、数据泄露、内部威胁等安全事件的频发，如何有效识别和管理信息安全风险已成为确保组织信息系统安全运行的必要条件。《GB/T 243…

• 

  源代码质量安全怎么做？

  源代码安全缺陷分析、源代码合规分析、源代码溯源分析及代码安全保障。在对源代码进行高精度安全缺陷分析及溯源检测,实现源代码安全的可视化管理，提升的软件安全质量。 1、本地的代码检测，SVN等代码库的源代码检测。 2、检测结果与Bug管理系统融合，检测结果可导入至Bug管理系统中。 3、代码缺陷检测，检查源代码中存在的安全缺陷。 4、源代码合规，检查源代码是否违背代码开发规范，约束开发者的开发行为。 5、对源代码的不同版本的检测结果进行比对分析，分析代码安全趋势。 6、缺陷信息数据的深度挖掘，按时间…

• 

  信息安全检查和审核管理

  为形成信息安全检查和审核长效机制，提高重 庆市城市照明管理局全体职工信息安全意识，特制订本规范。 第一章 目的 第一条  为形成信息安全检查和审核长效机制，提高重 庆市城市照明管理局全体职工信息安全意识，特制订本规范。 第二章 范围 第二条 本管理制度适用于重庆XX中学在信息安全管理过程中的周期信息安全检查和审核管理。 第三章 职责 第三条 网络安全办公室负责协调，网络安全办公室安全管理员负责常规的信息系统安全检查和记录。信息安全工作小组负责对重庆XX中学在信息系统安全抽查， 并由网络…

• 

  网络与信息安全管理制度（简版）

  根据众平科技的经验，在一个基本的网络信息系统中，造成信息泄露或损害的原因，更多的是系统运维制度和人员的缺失，是网络安全体系的建设不足，相对而言其实网络信息安全设备更多的是个辅助。 本文是一个简版的网络与信息安全管理制度，内容比较少，但该有的都有了，各位在参考使用时注意把内文所涉用户信息删除。整理不易，投个币再下载吧，相关文章： 网络安全管理制度 网络机房管理制度 监控中心管理制度 信息系统建设的安全机制建设 网络与信息安全管理制度（简版） 第一章 目的 第一条 为规范重庆市XX网络信息系统安全管…

• 

  信息安全管理岗位人员管理制度

  为防止品质不良、技能欠佳的人员进入重庆XX中学从事信息岗位，降低职工因信息系使用不当所带来的差错、欺诈及滥用设施的风险，减少人员对于信息安全保密性、完整性、可用性的负面影响，特制定本制度。 第一章 目的 第一条 为防止品质不良、技能欠佳的人员进入重庆XX中学从事信息岗位，降低职工因信息系使用不当所带来的差错、欺诈及滥用设施的风险，减少人员对于信息安全保密性、完整性、可用性的负面影响，特制定本制度。 第二章 范围 第二条 本规定适用于重庆XX中学信息系统岗位人员的聘用、任职、离职的安全考察、保密控…

• 

  集团公司信息安全方针与政策模板

  此前说到，一个系统若没有有效的制度协助管理运营人员来管理，那么即便再好的系统和设备，不日也会逐渐臃肿直至瘫痪。公司也是一样，良好的公司制度有助于企业健康、快速的发展；本篇分享的公司信息安全方针与政策，可作为公司制度的一部分，合理应用将有效地保障企业的信息资产安全。以下内容来自于网络，众平稍作修改分享。 XX公司信息安全方针与政策 第一章 总则 第一条 本方针政策旨在为重庆众平科技有限公司（Chongqing Zhongping Technology Co., Ltd.，下同）及其所有子公司、分支…