账号权限及密码管理制度

账号权限及密码管理制度

一、 账号权限管理

1. 做好系统管理员、业务管理员的备案；同时做好系统用户备案管理。 2. 业务管理员需定期检查相关系统的账号权限分配情况，确保落实权限最小

化原则。角色分配应与岗位需求吻合，避免功能扩大。同一账户被赋角色不得存在功能互相矛盾、嵌套情况。严格控制隐私信息查询、浏览、导出权限。

3. 限制超级账号的使用，并做好相应的使用审计工作。 4. 业务管理员应及时解除无用账号相应权限，系统管理员应定期检查并禁用

或注销无用账号。

二、 密码产品

1. 使用符合国家密码管理规定的密码技术和产品。 2. 密码算法和密钥的使用符合国家密码管理规定。

三、 密码的设置

1. 服务器的密码，由安全管理员和系统管理员商议确定，必须两人同时在场

设定。

2. 服务器的密码须安全管理员在场时要由系统管理员记录封存。

3. 密码内容设置规则：必须由数字、字符和特殊字符组成；密码长度不能少

于8个字符；机密级计算机设置的密码长度不得少于10个字符；设置密码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。 4. 密码要定期更换:一般重要设备密码更换周期不得多于180天；

四、 密码和口令的保存

1. 服务器设置的用户密码由系统管理员自行保存，严禁将自用密码转告他人；

若工作需要必须转告，应请示上级领导批示；非系统管理员使用密码完成工作后，系统管理员应该及时更改密码，保证密码安全。

2. 服务器所有设置的用户密码须登记造册，由系统管理员管理保存，并将备

案记录交于网络管理中心负责人封存。

3. 密码更换后系统管理员需将新密码或口令记录登记封存。 4. 如发现密码有泄密迹象或黑客入侵，系统管理员要立刻报告网络管理中心

负责人，网络管理中心负责人应及时与系统管理员商定修改密码，并严查

泄密源头修补系统漏洞，将详细情况以书面形式上报上一级领导。

本着“谁使用，谁负责”的原则，信息系统使用人员不得转让或泄露信息系统操作账号和密码，坚决杜绝网络直报系统用户和密码共享（如上传至互联网或随意张贴），避免多人使用一个账号。发现账号、密码已泄露或被盗用时，应立即采取措施，更改密码，同时向上级领导报告。