ISMS信息系统帐号和密码管理规定V01Word文件下载.docx
《ISMS信息系统帐号和密码管理规定V01Word文件下载.docx》由会员分享,可在线阅读,更多相关《ISMS信息系统帐号和密码管理规定V01Word文件下载.docx(7页珍藏版)》请在冰豆网上搜索。
]
文件版本信息
版本
日期
拟稿和修改
说明
V0.1
2014.3.17
拟稿
文件版本信息说明
记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。
文件版本小于1.0时,表示该版本文件为草案,仅可作为参照资料之目的。
阅送范围
内部发送部门:
综合部、系统运维部、技术开发部
第一章总则
第一条为保障XXXXX信息系统的安全,确保合理访问和修改XXXXX数据资源,根据《金融行业信息系统信息安全等级保护实施指引》(JR/T0071—2012),结合XXXXX实际,制定本规定。
第二条本管理规定确立了包括建立、监控、修改、注销和删除XXXXX信息系统帐号的规则。
第三条本管理规定适用于XXXXX信息系统的设备、平台等,适用对象是XXXXX内部人员、第三方人员以及其他任何授权使用XXXXX信息系统资源的人员。
第四条网络与信息安全工作领导小组办公室负责制定信息系统用户帐号名策略和密码策略。
第五条系统运维部负责XXXXX信息系统帐号及密码的分配和统一管理。
第二章帐号管理
第六条帐号名
(一)每个系统的帐号名需能代表某个系统或应用的用户。
每个帐号需要有一个所属人。
(二)不允许共享帐号身份或帐号组身份。
(三)内部人员帐号名应符合以下规则:
1.帐号名基本规则为员工的姓名全名拼音。
2.帐号名重名时,采用重名冲突规则处理。
3.帐号名过长时,采用超长规避规则处理。
4.重名冲突规则:
“<
符合基本规则的帐号名>
”+“_”+“<
后缀>
”(注明:
下划线),建议<
为长度小于等于2位的字母。
例如:
公司有两位员工叫赵勇,则加入较早的赵勇帐号名为zhaoyong,后加入的赵勇帐号名为zhaoyong_a。
5.超长规避规则:
当按照基本规则生成的帐号名超过某一系统的帐号名长度限制时,采用该员工的姓名全名拼音的缩写。
公司有位内部人员叫庄双双(ZhuāngShuāngShuāng),需要登录的系统允许的帐号名长度为8位,则该员工的帐号名为zhuangss。
6.如果截取后的帐号名与其他人的帐号名重复,且若采用重名冲突规则后会超过系统的帐号长度限制时,则将截取后的帐号名再次适当缩短,例如:
接前例,庄双双首次截取的帐号名为zhuangss,但与另一位员工庄诗诗的帐号名zhuangss冲突,若增加_a则会超过系统限制的8位,则再次缩短为zhss。
7.如果二次截取后的帐号名仍与其他人的帐号名重复,则采用重名冲突规则,例如:
接前例,庄双双二次截取的帐号名为zhss,但与另一位员工张姗晟的帐号名zhss冲突,则采用重名冲突规则庄双双的帐号名为zhss_a。
第七条帐号的申请
(一)应根据业务的需求申请帐号,并根据所属人的权限开通相关帐号的功能。
(二)帐号的申请必须得到综合部、风险管理部、系统运维部负责人及分管领导的关于访问该系统设备或服务的批准。
(三)帐号的权限应被严格控制。
帐号尤其是特别权限的帐号应被限制在职责范围内所需工作的最低权限。
超过普通用户的权限,必须基于业务需求,并得到系统负责人的批准。
(四)帐号和密码提供给员工之前,需要确认用户的身份。
推荐使用较严格的方式(如,递交给部门经理)来提供拥有特权的帐号信息。
(五)第三方人员申请信息系统帐号时由接口的内部员工代为办理,并需明确其责任和义务。
(六)帐号申请流程:
1.首先由员工填写《业务系统帐号管理申请单》提出书面申请,详细列出涉及的信息系统设备、所需权限、用途,由其部门负责人和分管领导审批。
2.由综合部负责人、风险管理部负责人和分管领导审核申请内容和合理性。
3.由系统运维部负责人和分管领导审核申请内容的安全性。
4.在以上各审批环节中,如任何一个审批人不同意该申请,则退回用户的申请。
第八条帐号的使用
(一)各类信息系统的帐号权限应定期进行检查,检查的间隔时间和方式应在相关信息系统设备或服务的文档中阐述。
(二)所有在一定预期内未使用的帐号应被废除。
(三)当员工被调动到其他部门或者不再具有相应的角色和使用需要,那么所有相关的帐号权限都应被立刻中止。
(四)系统管理员的权限须得到明确的区分:
1.操作系统管理和维护的人员,需要得到操作系统管理员的权限。
2.安全管理工作的人员,需要得到安全管理员的权限。
(五)不允许在没用通过验证的情况下,访问信息系统设备、平台。
(六)连续的登录尝试应受限制,并记录失败的登录尝试。
如果系统功能可以实现,在连续第6次错误的口令登录尝试时,应阻止该帐户的登录或锁定该用户,并在一定时间间隔后或由管理员恢复该帐号。
(七)系统中帐号产生的操作均视为申请人本人所为。
第九条帐号权限的变更
(一)员工因工作职责发生转变,造成现有权限与在系统中的职责不同时,应当申请权限的修改,帐号权限变更流程与帐号申请流程一致。
(二)系统运维部发现用户具有工作不需要的权限,可以直接停止多余的权限。
(三)帐号使用人在工作职责发生转变,而不再需要使用系统资源的情况下,应当申请关闭帐号,对不能关闭的帐号则需要转移帐号的责任人。
第十条帐号的删除
(一)当员工离开公司时,管理员根据员工所在部门的通知删除相关帐号,帐号删除流程与帐号申请流程一致。
(二)作为XXXXX员工,当根据其工作性质不再需要拥有的帐号时,应有责任通知管理员把相关帐号删除。
(三)非公司人员的帐号停止使用后,接口的清算所员工应当负责提出删除帐户。
第三章密码管理
第十一条在相关系统的技术支持下,XXXXX密码的标准为:
(一)至少六位。
(二)至少包含一个大写字母、一个小写字母、一个数字和一个特殊字符。
(三)至少每90天更换一次密码。
(四)禁止使用前5次的密码。
(五)禁止把帐号名、生日、电话号码作为密码或其一部分。
(六)在首次登陆后修改临时或缺省得密码。
(七)如果需要访问不在公司控制下的计算机系统,禁止选择在公司内部使用的密码作为外部系统的密码。
第十二条密码在使用过程中需注意以下几点:
(一)即使系统没有使用技术控制措施强制更换密码,同样需要遵守密码更换要求。
当更换密码时,必须选择一个新的密码,禁止使用前两次的密码。
(二)在任何系统付诸操作之前,所有由卖方所提供的缺省密码应被改变。
(三)如果怀疑密码可能存在泄漏的问题,应立刻改变这些密码。
(四)应该填写《业务系统帐号管理申请单》(详见附件)来重设密码。
管理员在重设密码后,应该确认请求者真实身份,新的密码应传给申请者的经理或者递交给申请者本人。
(五)当密码被存储或者在网络上传输时,尽可能先通过加密变为密文的形式。
如果无法采用加密功能,必须保证只有授权的系统安全管理员才能够访问这些文件和数据库的密码部分。
(六)密码在输入时的显示必须使用星号或方框等符号进行替代。
(七)帐号和密码信息尽可能不通过Email发送给使用者。
若使用Email进行发送,则Email必须进行加密并将帐号和密码分开发送给使用者。
(八)硬件设备、应用系统的密码若长时间(至少90天)无法进行更改,则需要满足以下密码标准:
1.密码长度至少八位。
2.必须包含大写字母、小写字母、数字和特殊字符。
3.不能在多台设备或多个应用系统中使用相同的密码。
(九)保持密码的保密性,密码如无必要不能被共享和泄露出去。
(十)如果密码必须被共享,那么立刻在共享需要不再存在之后改变密码。
如果技术允许,改变的密码与原密码不能有原来密码的部分内容。
(十一)如果有定期的密码共享需求,则该共享密码要经常改变(至少为1个月一次),而且必须得到综合部、风险管理部、系统运维部、帐号使用人所属部门的负责人及分管领导的批准。
第四章附则
第一条
第二条
第三条
第四条
第五条
第六条
第七条
第八条
第九条
第一十条
第一十一条
第一十二条
第一十三条
第一十四条
第一十五条
第一十六条
第一十七条
第一十八条
第一十九条
第二十条
第十三条本规定由网络与信息安全工作领导小组办公室负责制定、解释和修改。
第十四条本规定自颁布之日起实行。
附件
银行间市场清算所股份有限公司
业务系统帐号管理申请单
升级会员 