系统账号管理办法.docx
《系统账号管理办法.docx》由会员分享,可在线阅读,更多相关《系统账号管理办法.docx(12页珍藏版)》请在冰点文库上搜索。
系统账号管理办法
系统账号管理办法
文档信息
密级分类
版本控制
版本
日期
人员
更新说明
V1.0
2010-10-27
文档审核
审核人
职务
审核日期
文档批准
批准人
职务
批准日期
分发控制
部门
人员
文档权限
复查计划
复查时间
复查人员
复查结果
第一章总则
第一条目的:
为保障企业信息化系统的安全、稳定运行,切实防范和降低因非法或
不适当的对系统或数据的访问而带来的风险,加强对系统访问和权限分配的管理,根据相关规章制度,特制订本管理办法。
第三条系统范围:
支撑和企业信息化各系统,包括BOSS系统、以及支撑以上各系统
的网络平台系统;
第四条人员范围:
对上述系统进行使用和开发维护的人员,包括各系统的最终用户、
系统账号权限管理人员、提供系统集成、开发、维护、和技术支持服务的非本公司人员(第三方人员)。
第二章相关定义
第五条账号是指每个可访问系统资源的用户在系统中的标识,可分为应用系统账号、
操作系统账号和数据库账号等。
应用系统账号是指在应用系统中建立的用户标识,用户可以通过应用系统提供的前台操作界面进行登录,并使用授权的业务功能和访问授权的业务数据;操作系统账号是指在主机系统中建立的用户标识,用户可以登录主机设备和发出操作指令;数据库账号是指在数据库系统中建立的用户标识,用户可以登录数据库系统并访问其中的数据。
第六条访问权限是指账号被赋予的可以访问系统资源和使用系统功能的权利。
第七条账号管理员是指负责在系统中执行账号管理操作的人员,例如在系统中创建
或撤销账号,分配或修改账号权限,定期提供系统中的账号和权限清单供审阅等。
第八条账号审批人员是指有权对账号和权限的管理操作进行审批和决策的人员,包
括各部门负责人,业务负责人、安全管理员或经部门领导授权的人员等。
第九条系统管理员是指负责对系统进行维护和管理的人员,例如操作系统管理员,
数据库管理员,账号管理员等。
第十条归档人是指负责执行文档资料归档保存操作的人员。
第三章职责分工
第十一条BOS孫统使用部门内部应用账号和权限的审批和相关管理操作由各部门负责
信息化部负责管理本部门应用系统维护人员的账号和权限,并执行对各使用部门应用账号管理员的账号和权限进行管理的相关操作.各需求部门负责明确应用系统新增功能的开放范围。
第十二条BOSS系统应用账号和权限的审批由各职能管理部门负责,各使用部门负责向
职能管理部门提出应用系统账号和权限申请,信息化部负责在BOSSK统中执行账号和权限管理的相关操作。
第十三条各系统操作系统层和数据库层和网络层账号和权限的管理由信息化部负责。
第四章基本原则
第十四条对系统的访问必须经过授权,任何人不得在XX的情况下在系统中运行
未经审批的程序。
授权可以通过书面文件,或通过员工按岗位的分工等方式实现。
授权必须经过正式审批方可生效。
第十五条各系统必须采用用户名和密码认证方式实现登录控制,对系统的访问必须使用唯一的账号和口令。
第十六条各系统中不允许建立共享账号,每个账号都与唯一的用户相对应。
拥有账号
的用户不得随意将账号交于他人使用。
第十七条账号权限的分配应遵循满足需求的最小授权原则,即为用户分配权限时,以
其能进行系统管理、操作的最小权限进行授权,避免为其分配无关的或更大的权限。
第十八条各系统(主机、数据库、网络、应用)都应有完整的帐号权限分配现状记录
表,且展示形式清晰,可以方便查询到指定用户的权限;
第二十条
第二十一条
第二十二条
第二十三条
第二十四条
第二十五条
第二十六条
第二十七条
有关用户登陆和账号权限管理的相关操作在系统中要留有日志,日志至少保留两年以上;
创立新用户角色或对用户组或用户角色定义进行修改时,应考虑不相容职责分工原则,例如操作人员与审核人员的分离、开发人员与维护人员的分离等。
当员工工作调动或离职时,其在系统中的账号应立即撤销,不得继续将账号分配给他人使用。
开发人员平时不得使用生产系统中的账号。
如需使用,则必须以书面形式提出申请,经信息化部主管审批后,由系统管理员临时为其开启一个账号.开发人员在访问生产系统时必须由信息化部系统维护人员对其访问进行监督,在访问结束后及时删除账号或更改口令,并对操作日志进行审阅。
对操作系统级和数据库层超级用户的账号(比如根用户,系统管理员,安全管理员账号,批处理用户账号,数据库管理员)由信息化部系统维护部经理对正式书面审批,使用仅限于经授权的系统管理人员;信息化部系统维护部经理对操作系统层及数据库层超级用户账号的清单每季进行复核并签字确认,并对多余或不恰当的账号进行调整。
对应用系统层超级用户的账户的建立是根据用户工作职责,仅限于经授权的应用管理人员使用。
各系统遵循如下规定:
信息化部业务维护部经理或各业务部门主管对BOSSK统应用管理员、工号管理员的授权审批建立正式的书面审批表格,并且对BOSS系统管理员、工号管理员的清单每季进行复核并签字确认,并对多余或不恰当的账号进行调整;如果系统中存在第三方厂商人员使用账号的情况,应和第三方厂商签订相关的安全保密协议,以合理确保第三方厂商能够执行的安全管理要求和职责不相容要求.如果外部人员需要通过远程登录访问对系统进行操作及更新,局方人员在每次操作执行时应根据部门主管授权,临时开通远程登录功能。
局方人员对远程登录操作进行监控(或事后及时审阅相应的操作日志记录)。
在操作完成后,局方人员应及时终止远程登录。
第二十八条
第二十九条
第三十条
第三十一条
第三十二条
第三十三条
第三十四条
对于部分因系统接口原因在系统中预设的用户账号,应对接口程序、脚本或相关设置进行加密或实施访问控制,以防止XX的访问。
对内置账号的目录/文件访问权限严格限制在该账号的功能范围内并定期检查。
在系统做定期维护时对密码做更改。
对该类账号的操作要保留日志并定期审阅。
各账号和权限的操作、管理人员应严格遵守我公司相关管理规定,不得以任何非法形式操作非本人权限范围内之事。
第五章账号的建立、变更、撤销和审阅
当需要在系统中创建新账号或新用户角色时,由申请人填写《账号权限变更记录单》提出申请,明确要使用账号的人员信息、账号权限,或者新用户角色的权限,经账号审批人员签字审批后,由账号管理员在系统中执行账号创建操作。
执行完毕后,在记录单上签字后归档。
各系统普通用户账号管理由部门主管授权的帐号管理员负责。
账号的权限进行调整或增加/删除,须由业务部门主管对权限变更记录单审批确认后,由帐号管理员在系统中进行设置。
当需要在系统中进行账号权限或用户角色权限变更时,由申请人填写《账号权限变更记录单》提出申请,明确变更内容,经账号审批人员签字审批后,由账号管理员在系统中执行账号变更操作。
执行完毕后,在记录单上签字后归档。
当发生员工调动或离职时,原所在部门须在调动离职批准后2日内,由帐号管理员对该人员的帐号进行删除或者禁止使用管理处理。
当系统管理员离职或调职时,应对此类关键账号进行禁用处理并保留相关账号操作日志待查,接任的管理员经过申请审批流程获得新的管理员账号。
如果管理员账号无法变更或禁用(如root账号,DBAt号等)则建立正式的账号移交流程,由部门负责人员对账号移交单签字认可后,离职的系统管理员将账号移交给接任的系统管理员。
接任的系统管理员立即更改该管理员账号密码,并在账号移交单上签字后归档。
第三十五条
第三十六条
第三十七条
第三十八条
第三十九条
第四十条
第四十一条
当应用系统新增功能涉及到账号权限分配时,由需求部门(BOSS系统)在正式文件中明确新增功能在系统中的开放范围,由信息化部应用系统账号管理员在系统中执行新增功能访问权限分配工作。
当在某些情况下需要临时授权时,由申请人填写《账号权限变更记录单》,明确申请原因、授权账号、权限内容和权限使用期限等信息,经账号审批人员签字审批后,由账号管理员在系统中执行权限分配工作。
当工作结束后,应由账号管理员立即将临时权限收回,并在记录单上记录回收情况和签字后归档保存。
当某用户需要超级权限时,应在其原有的账号之外,另行设置一个授予了超级权限的特殊账号。
信息化部每半年将各系统中的账号清单(包括应用层、数据库层和操作系统层的超级用户,系统管理员和普通用户在内的所有账号)提供给各部门,由账号所在部门领导或授权人员进行复核和签字确认,对多余或不恰当的账号须依照账号变更或撤销流程进行调整,并将结果汇总至信息化部保存。
信息化部每半年或业务流程发生重大变更时,将系统中的账号访问权限清单提供给各部门,由账号所在部门进行审阅签字,以避免在账号的权限中有不相容职责的存在。
如发现不相容职责须依照账号和权限变更流程进行调整,并将结果汇总至信息化部保存。
对于采取用户角色来向用户分配访问权限的系统,信息化部应建立系统权限和用户职责(或用户角色)矩阵表,用来反映用户职责(或用户角色)与其所能进行的操作权限的对应关系.该矩阵表由负责账号权限审批的主管部门负责人定期(每三个月一次)审阅签字确认。
账号管理员负责维护系统中的用户权限与审阅后的矩阵表保持一致。
第六章口令管理
账号口令拥有者必须严格确保口令的安全保密性。
一旦有迹象表明口令可能被泄露,用户必须立即修改口令。
第四十二条
第四十三条
第四十四条
第四十五条
第四十六条
第四十七条
系统中的账号口令应避免使用弱口令.口令长度不得低于6位,须由数字、字母组成,并至少每90天进行强制更新,且更新时不得使用最近5次以内重复使用的口令。
账号的初始口令应以安全途径告知账号使用者.账号使用者在首次登录系统时应立即修改账号口令。
若登录系统时连续5次口令输入错误,则应暂停该工号登录。
超级账号口令应由账号管理员负责维护。
严禁未经账号审批人员的许可使用超级账号及口令。
如发生丢失或遗忘口令的情况,超级账号管理员应立即通知账号审批人员重置密码。
口令在系统中保存或传输时,必须采取安全措施以保证账号的安全性,例如对口令进行加密等.除非可以安全保管,否则不得将口令记录在纸张等一切可视介质上。
当程序内的账号密码需要保存在配置文件里时,文件属性应置为不可读,并且只能由对应程序访问。
程序所使用到的账号及口令不能用于日常运维管理,不能供用户使用。
程序所使用到的账号及口令禁止扩散。
在系统做定期维护时对密码做更改。
第七章附则
第四十八条
第四十九条
本方针由XXXX有限公司制定并负责解释和修订
本方针自发布之日起执行
第一章附件1:
账号权限创建/变更/撤销流程
账号创建/变更/撤消流程
提交账账号权限变
”号权限更记录单
申请/I/
确认操
作结果
账号审批人账号管理员
审
审批账号权限
创建/变更/撤
消申请
执行账号权限创建/变更/
\撤消操作
记录单上记
录操作结果
\______/
账号权限变
更记录单
归档
结束
第二章附件2:
账号权限变更记录单
变更类型
□创建新账号□账号权限变更□撤销账号
□创建新用户角色□用户角色权限变更□撤销用户角色
申请人
所属部门
申请时间
账号使用人
所属部门
账号/用户角色名称
账号/用户角色职责描述
账号类别
□系统超级管理员□系统管理员□系统普通用户
□账号管理员□其他
系统名称
系统类别
□应用系统□主机□数据库
□其他
权限有效期
□长期
□自年月日始至年月日止
变更原因
变更内容
审批意见
变更结果
变更执行时间
变更执
行人
备注
第三章附件3:
系统管理员账号移交流程
系统管理员账号移交流程
账号原拥有者
、号移账匚账号移
将账号和口二令移交给接:
.任者
部门负责人
账号新拥有者
账令改口修号
号单宀子*账交签在移上
归
第四章附件4:
账号移交单
账号名称
原拥有者
新拥有者
账号移交原因
审批意见
移交时间
交出人签字
接收人修改密码时间
接受人签字
升级会员 