密码修改账号权限及密码管理制度
一、账号权限管理
1.做好系统管理员、业务管理员的备案;同时做好系统用户备案管理。
2.业务管理员需定期检查相关系统的账号权限分配情况,确保落实权限最小
化原则。角分配应与岗位需求吻合,避免功能扩大。同一账户被赋角
不得存在功能互相矛盾、嵌套情况。严格控制隐私信息查询、浏览、导出
权限。
3.限制超级账号的使用,并做好相应的使用审计工作。
4.业务管理员应及时解除无用账号相应权限,系统管理员应定期检查并禁用
或注销无用账号。
二、密码产品
1.使用符合国家密码管理规定的密码技术和产品。
2.密码算法和密钥的使用符合国家密码管理规定。
三、密码的设置
1.服务器的密码,由安全管理员和系统管理员商议确定,必须两人同时在场
设定。
2.服务器的密码须安全管理员在场时要由系统管理员记录封存。
3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少
于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密
码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。
4.密码要定期更换:一般重要设备密码更换周期不得多于180天;
四、密码和口令的保存
1.服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人;
若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成
工作后,系统管理员应该及时更改密码,保证密码安全。
2.服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备
案记录交于网络管理中心负责人封存。
3.密码更换后系统管理员需将新密码或口令记录登记封存。
4.如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心
负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查
泄密源头修补系统漏洞,将详细情况以书面形式上报上一级领导。
本着“谁使用,谁负责”的原则,信息系统使用人员不得转让或泄露信息系统操作账号和密码,坚决杜绝网络直报系统用户和密码共享(如上传至互联网或随意张贴),避免多人使用一个账号。发现账号、密码已泄露或被盗用时,应立即采取措施,更改密码,同时向上级领导报告。
发布评论