帐号口令及权限管理制度
帐号口令管理制度
目录
第一章总则 (4)
1.1概述 (4)
1.2目标 (5)
1.3范围 (5)
1.4要求 (5)
第二章帐号、口令和权限管理的级别 (7)
2.1关于级别 (7)
2.2如何确定级别 (7)
2.3口令、帐号和权限管理级别的定义 (7)
2.3.1等级1 –最低保障 (8)
2.3.2等级2-低保障级别 (8)
2.3.3等级3 –坚固保障级别 (9)
2.3.4等级4 –最高保障等级 (9)
第三章帐号管理 (11)
3.1职责定义 (11)
3.2口令应该以用户角色定义 (11)
3.2.1系统管理员/超级用户 (11)
3.2.2普通帐号 (11)
3.2.3第三方用户帐号 (12)
3.2.4安全审计员帐号 (12)
3.2.5对于各类帐号的要求 (12)
3.3帐号管理基本要求 (13)
3.3.1保障等级一需要遵守的规范 (13)
3.3.2保障等级二需要遵守的规范 (13)
3.3.3保障等级三需要遵守的规范 (13)
3.3.4保障等级四需要遵守的规范 (14)
3.4帐号管理流程 (14)
3.4.1创建用户帐号 (14)
3.4.2变更用户 (17)
3.4.3撤销用户 (19)
3.4.4定期复审 (20)
第四章口令管理 (21)
4.1通用策略 (21)
4.2口令指南 (21)
4.2.1 口令生成指南 (21)
4.2.2口令保护指南 (22)
第五章权限管理 (24)
5.1 概述 (24)
5.2根据工作需要确定最小权限 (24)
5.3建立基于角色的权限体系 (24)
5.4审计人员权限的界定 (25)
5.5第三方人员权限设定 (26)
第一章总则
1.1概述
随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。主要表现在以下方面:
1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的
部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。所有系统具备
不同的安全需求级别,目前没有一个统一的规范描述和区分这种级别,导致对口
令、帐号和权限的管理处于较为混乱的状况。
2.由于存在大量的帐号和用户,人员的变化、岗位的变化和需求变化会导致帐号管理
复杂度大大增加,必须有一套完整的帐号管理规范、流程,保证帐号的变化在可管
理、可控制的范畴内。
3.弱口令被猜中后导致系统被入侵是系统被入侵的最主要原因之一,因此如何管理口
令的生命周期,如何设置较强的口令成为当前一个重要的课题。特别是snmp 口令
的缺省配置常常成为一个严重的问题。这些问题有些可以通过集中认证、双要素认
证等方式实现,但是最关键的还是应当通过建立规范和指南来实现。
4.即使有良好的帐号流程管理和控制,有正确的口令设置,仍然无法防止内部的滥用
和误用,因为这些滥用和误用的前提通常是用户已经有了一个口令和帐号,因此,必
须对用户的权限进行严格的管理和限制,特别是利用系统功能实现最小授权的原
则。
5.由于各个系统存在的信任关系,整个系统一环套一环,一个被击破可能导致全线崩
溃,因此必须保障整个系统达到一致的安全水平。
总之,随着业务系统和支撑系统的发展及内部用户的增加,必须有一套规范可以保障系统的帐号、口令和权限被合理地管理和控制,达到系统对认证、授权和审计的需求。
1.2目标
本管理办法的主要内容包括:
定义帐号、口令和权限管理的不同保障级别;
明确帐号管理的基本原则,描述帐号管理过程中的各种角色和组织职责,确定帐号
管理的流程:包括帐号的申请、变更、注销和审计;
规定口令管理中的基本要求,例如口令变更频率,口令强度要求,不同类型帐号
口令的要求,提供口令生成的指南;
确定权限分析和管理的基本原则和规范;
确定审计需要完成的各项工作;
给出流程中需要的各种表格。
1.3范围
网络和业务系统范围
适用范围包括CMNE、T网管、MDC、N BOSS、OA/MIS等西藏电信全网所有计算机
信息系统和IP 网络。
帐号、口令和权限管理包括不同的层次范围帐号、口令和权限管理涉及网络设备、主
机系统、数据库、中间件和应用软件。
1.4要求
本规范制定了适合西藏电信的基本准则和级别划分规则,全公司应该遵照第二章的
级别划分要求对所有主机、数据和应用系统进行评估和级别划分,并针对每一级
别,遵循第三、四、五章的要求,明确哪些适合于哪些系统。
评估报告的内容应该包括:
所有主机资产列表
每台主机/服务器/数据库/应用系统需要的帐号、口令和权限保障级别和原
因,主要评估方法是根据第二章中每一级别的特征逐条比较,选择最为接近的
级别根据第三、四五章的要求,明确每一级别需要遵守的规范细节评估过程和方法应该透明,评估报告随评估结果和相关策略一并提交网络与信息安
全办公室。
第二章帐号、口令和权限管理的级别
2.1关于级别
为了实现西藏电信所有IT 信息系统的正常安全运行,我们在这里定义四个口令、帐号和权限管理的保障级别,这些级别确认不同系统对帐号管理的不同需要,不同级别的系统和设备需要不同级别的口令、帐号和权限管理的技术、管理制度和管理流程。通常来说,价值较低的系统被定义为需要较低的保障级别,价值较高的系统被定义为需要较高的保障级别。
2.2如何确定级别
第一步:对各系统进行一次风险评估,风险评估的结果能够确定系统需要口令、帐号管理权限的保障级别并揭示由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果。由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果越严重,需要的安全措施越高,相应地需要的保障级别也越高。风险评估还应遵照本规范揭示相应的应用系统需要采取何种帐号、口令和权限措施,这些措施应该包括技术措施和管理措施。
第二步:匹配风险评估揭示的风险和口令、帐号和权限需要的保障级别。风险评估的结果应该被总结并得出结论,最终结论与下一节定义的各种级别进行比较,选择最为接近的级别作为该资产或者系统需要的口令、帐号和权限保障级别。当进行确认的时候,应当按照系统没有任何安全措施的情况来进行评估和比较,而不应当在假设某个系统已经使用了某个保障技术的情况下进行比较。另外对于一个系统的保障应该按照该系统可能受到的所有危害的最高级别来匹配保障级别。
第三步:确定使用何种口令、帐号和权限管理、技术措施,具体的结论应该以规范制度的形式加以规定。请注意,由于某些技术本身可能带来一些额外风险,应该确认该技术是否真的达到应用系统对应等级的需求,评估残余风险。
2.3口令、帐号和权限管理级别的定义
本节定义口令、帐号和权限管理需求的四个级别,我们将给出每个级别的特征和相关的例子,级别分成1~4,数字越大表示需要的帐号、口令和权限管理保障信心等级越高。
2.3.1等级 1 –最低保障
描述
在第一等级保障的情况下,只有基本的甚至没有保障措施用于电子系统的帐号,等级一的情况下,错误的口令、帐号和权限管理可能导致:
给电信、客户或者第三方带来最小的不便不会给电信、客户或者第三方带来直接的经
济损失不会给电信、客户或者第三方带来不快不会给电信、客户或者第三方带来名
誉或者地位的损失不会破坏电信、客户或者第三方需要执行的商业措施或者交易不
会导致民事或者刑事犯罪不会向未经授权的组织或个人暴露个人、电信、政府、商业
的敏感信息
举例:
一个公司的内部交流论坛,不用于任何工作目标,可以自行注册帐号并发言,尽管
帐号的泄漏会带来一些不便和伪冒,但是由于不用于工作目的,因此不会造成大的
损失。
未验收和未投入使用的系统,工程过程中的系统(假设没有涉及知识产权,例如软
件代码泄密的问题的情况下)
2.3.2等级2-低保障级别
描述通过常用的措施即可保护系统的可信认证,必须充分考虑代价和认证安全性的平衡。这种等级的认证被误用或者破坏可能导致:
给电信、客户或者第三方带来较小的不便给电信、客户或者第三方带来较小直接的经
济损失或者没有直接经济损失会给电信、客户或者第三方带来较小的不快会给电
信、客户或者第三方带来较小名誉或者地位的损失存在一定的风险,可能破坏电信、
客户或者第三方需要执行的商业措施或者交易不会导致民事或者刑事犯罪存在一定
风险,可能少量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息
举例:
一台常用办公电脑,该电脑上没有存储任何机密文件,他的帐号被窃取可能导致公
司常用信息例如通讯录被泄漏。
一个有查询系统的帐号,用户可以通过Internet 注册来查询自己的帐单。该帐号
失窃可能导致用户信息的泄漏。
2.3.3等级 3 –坚固保障级别
描述通常等级三意味着正式的业务流程使用的帐号,通常需要较高信心来保证身份的认证和正确的授权,这种等级的认证被误用或者破坏可能导致:
给电信、客户或者第三方带来较大的不便给电信、客户或者第三方带来较大直接的经
济损失或者没有直接经济损失会给电信、客户或者第三方带来较大的不快会给电
信、客户或者第三方带来较大名誉或者地位的损失存在较大的风险,会破坏电信、客
户或者第三方需要执行的商业措施或者交易会导致民事或者刑事犯罪存在较大风
险,可能大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息
举例:
一般的主机操作系统、数据库、和路由器的高权限帐号,例如root 、
administrator dba 等。
业务系统的关键管理帐号,可以读写重要的用户信息、业务信息和帐单信息。
2.3.4等级 4 –最高保障等级
描述
等级四的保障通常对应需要非常大的信心保障的系统这种等级的认证被误用或者破坏可能导致:
给所有电信、客户或者第三方带来巨大的不便给电信、客户或者第三方带来极大直接的经济损失或者没有直接经济损失会给电信、客户或者第三方带来极大的不快会给电信、客户或者第三方带来巨大名誉或者地位的损失破坏电信、客户或者第三方需要执行的商业措施或者交易会导致民事或者刑事犯罪大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:
关键系统,例如计费系统数据库主机的操作系统和数据库。用于存储公司最高商业机
密或密级为绝密的系统的认证。
第三章帐号管理
3.1职责定义
员工所在班组:负责发起员工帐号的创建、变更和撤消申请;
员工所在部门系统管理员:负责维护和管理业务系统,对业务系统负全责,具体负
责帐号的具体生成、变更和删除,并进行定期审计;员工所在部门安全管理人员:负
责审批、登记备案用户权限。
3.2口令应该以用户角色定义
电信的帐号应基于统一的角色进行管理。帐号的角色可以从电信业务角度分或从IT 管理角度分。如果从IT 管理角度可以分为以下部分。
3.2.1系统管理员/超级用户
系统管理员和超级用户是有权限对系统的配置、系统最核心信息进行变更帐号的角色,通常每个系统至少具有一个或者一组该类帐号,该类帐号的管理应该最为严格,因为这些帐号可以对系统产生重大影响。超级用户和系统管理员帐号又可以分为以下二种:
系统自带超级用户:例如unix 的root ,windows 的
administrator ,数据库的dba ,这类用户由于系统缺省使用,通常是
口令攻击者的攻击目标,因此必须妥善加以保护。
手工定义的超级用户:基本上所有系统都可以定义基本与系统缺省超级用
户等同权限的用户(一般在权限方面略又差别)。
3.2.2普通帐号
普通用户是用户用于访问业务系统,实现日常业务操作的用户,是最为常见的用户类型,例如email 帐号、BOSS系统帐号、操作系统普通用户等。该类用户主要包括以下二类:
系统缺省普通帐号,例如unix 中的lp 、nobody 等,这些帐号是系统为
了提供服务存在的特殊帐号,常常成为黑客的攻击目标,因此必须进行特
别的安全设置和审计。
普通帐号:用于实现业务操作和访问的帐号。
3.2.3第三方用户帐号
第三方帐号通常指由于某种特殊情况,系统允许电信以外的人员和组织访问的帐号。这类帐号通常包括代维用户帐号、临时故障登录帐号、客户登录帐号。这些帐号必须进行严格的权限管理和定期审计。其中客户登录帐号(例如网上营业厅)应给予特别保护。
3.2.4安全审计员帐号
在核心系统中,应该设置安全审计员帐号,该帐号可以对系统安全设置和日志信息进行专门的审计。
3.2.5对于各类帐号的要求
3.3帐号管理基本要求
3.3.1保障等级一需要遵守的规范
设备或者应用系统由系统维护部门的系统管理员自行管理和划分权限。系统的帐号管
理应该支持用户名和口令的机制,口令的存储尽量采用加密的方式;系统管理员自行
审计和处理帐号的存在和启用是否合理。
3.3.2保障等级二需要遵守的规范
本级别的需求应至少包括并高于其下等级的所有规范要求;非经部门系统管理员授
权,不允许匿名账号的存在;口令应该以加密方式存储;
不允许共享账号和口令,除非由部门经理授权,不允许将个人使用的口令告诉他人;
系统必须打开安全日志,并保存1 个月以上的安全日志。
3.3.3保障等级三需要遵守的规范
本级别的需求应至少包括并高于其下等级的所有规范要求;要求必须在帐号相关备注
字段或者一个集中的数据库中明确帐号的详细信息,至少包括名字、联系电话、
email ;
由于系统存在缺省帐号例如root 、administrator 帐号可能给口令猜测和系统漏洞
利用提供方便,因此在可能的情况下可以不使用该类帐号。在条件许可的情况下,开
发并使用一些工具( routine ),避免向用户授予超级权限;超级用户口令应尽可能
采用一次性口令或者双要素口令认证。超级用户口令要求每个月不定期变更两次以
上,普通用户口令要求每个月变更一次;对于3 个月没有使用的帐号应该评估是否
删除;用户账号授权应该满足最小授权和必需知道的原则。必需知道原则指应该让用
户有权限访问他工作中需要用到的信息;最小授权原则指仅让用户能够访问他工作需
要的信息,其他信息则不能被该用户访问;系统必须有严格的安全日志机制并打开安
全日志,该安全日志应该收集到部门的专
门日志集中管理主机上,日志应该能至少保存过去 6 个月的日志。
3.3.4保障等级四需要遵守的规范
本级别的需求应至少包括并高于其下等级的所有规范要求;
每3 个月审计用户账号的最后一次使用时间、最后一次变更时间,对于3 个月没
有使用的账号应进行评估是否删除;
该级别系统不允许代维或者第三方帐号的存在。如涉及故障排查,必须增加临时帐
号,该帐号必须登记在案,并且排查过程中,电信维护人员全程陪同,排查结束后立
即删除临时帐号;系统必须打开所有日志,其中包括安全日志。日志存储在部门的专
用日志主机上。日志应能够保存半年。
3.4帐号管理流程
3.4.1创建用户帐号
本流程适合需要二级以上保障的系统,一级系统由系统管理员自行和需要帐号的人员
协商创建帐号,或者由管理员自行规定创建流程;新员工应仔细阅读本规范,了解本
规范的要求和流程;新到员工的班组确定该员工需要的帐号和权限,通常包括:
email 帐号、内部工单系统帐号、该员工参与或者负责的业务系统帐号等,应明确
填写需要的帐号及权限,班长填写附表一所示的员工帐号申请表,并由系统管理员签
字;如果是第三方人员需要申请帐号,必须额外附上该第三方人员获得帐号的相关依
据(例如合同、协议以及单独签署的保密协议)。
系统管理员将申请表提交到部门安全管理人员,部门安全管理人员审计其帐号设置是
否符合本规范的要求,并给出具体在系统中开户方式的建议,同时根据需要帐号的
级别(关键帐号和非关键帐号)分不同流程进行后续审批;
关键帐号主要包括二、三级系统的系统管理员帐号和四级系统的所有帐号。非关键
帐号主要包括二、三级系统的非系统管理员帐号;对于非关键帐号,部门安全管理人
员审批后将申请单交由系统管理员开户即可;
对于关键帐号,应该由部门安全管理人员提交部门经理进行审批;当审批流程均结束
后,应该进行帐号的创建,帐号的创建应该由系统管理员完成。开户完成后进入通知
和备份流程。系统管理员应该在开户完成后立即通知申请开户的班组。在开户完成后不允许使用固定的缺省口令,建议由系统使用一个随机口令或者系统管理员为用户设置一个专用口令。关键系统帐号和口令不允许使用未经加密的邮件发送。需要开户的员工接收到帐号后应立即修改口令,请选择本规范许可的口令。
用户创建的流程示意图如下:
非关键用户申请
员工所在班组确定员工需要的帐号、权限,班长填写帐号申请表
3.4.2变更用户
本流程适合需要二级以上保障的系统,一级系统由系统管理员自行和确认帐号的变更;
当员工的岗位发生变化或者其他原因需要变更帐号(此处创建新帐号),因此该员工所在班
组应该牵头帐号的变更工作;
需要变更员工的班组确定变更是否合理,班长填写附表二所示变更表,并提交系统管理员签字确认;
系统管理员将申请表提交到部门安全管理员,部门安全管理员审计其帐号设置是否符合本规
范的要求,并给出具体在系统中变更帐号方式的建议。同时根据需要变更帐号的级别(关键帐号和非非关键帐号)分不同流程进行后续审批;非关键性变更是指修改帐号的名字、帐号
的联系方式等非关键信息。关键性变更主要指权限的变更;对于非关键性变更,部门安全管理员审批后将申请单交由系统管理员变更即可;对于关键性变更,应该由部门安全管理员提交部门经理进行审批;当审批流程均结束后,应该进行帐号的变更;
开户完成后进入通知和备份流程。系统管理员应该在开户完成后立即通知申请需要变更的班
组。
用户变更的流程示意图如下:
或者非关键性变
3.4.3撤销用户
遇有员工离职,在系统中删除相应的帐号应该是离职手续的一部分;员工所在班组应
尽早直接以书面方式(见附表3)发出帐号撤消通知书到系统管理
员,系统管理员签字确认后提交到部门安全管理员,部门安全管理员根据记录给出
该员工目前拥有的帐号,并发送给系统管理员。
系统管理员接到通知后应该立即暂停该用户权限,并对员工所使用的帐号进行安全
审计,审计的主要内容包括该帐号的实际权限是否符合记录、该帐号近期行为(日
志)是否符合规范等,同时做好相关备份和交接工作后,删除帐号;员工所在班组应
该做好部门内部交接工作。
用户撤消的流程示意图如下:
3.4.4定期复审
审查是否有下列情况网络与信息安全小组必须每半年组织一次对现有用户的复审。
发生:
员工实际已经离职,但仍在用户列表上。员工虽然仍在电信工作,但不应
该授予他使用某个业务系统的权利。用户情况是否和部门安全管理员备案
的用户帐号权限情况一致。是否存在非法帐号或者长期未使用帐号
是否存在弱口令帐号
复审由网络与信息安全办公室汇总打印出用户列表,然后由安全小组进行审查,审
查后得出各方签字的报告结论,并由部门的系统管理员进行相关的账号整理、删除
工作,部门安全管理员负责帐号的变更情况备案。
第四章口令管理
4.1通用策略
所有系统管理员级别的口令(例如root 、enable、NT administrator 、DBA
等)在没有使用增强口令的情况下,必需按照较短周期进行变更,例如每个月至少
变更两次以上。应该注意关键性帐号信息的定期行备份。
所有用户级别的口令(例如email、BOSS 用户、notes 用户)必需定期变更,例
如每个月变更一次。
用户所使用的任何具备系统超级用户权限(包括并不限于系统管理员账号和有sodu
权限账号)账号口令必需和这个用户其他账号的口令均不相同。
如果有双要素认证机制,则以上的要求和下面关于强口令选择的要求可以不考虑。口
令不能在电子邮件或者其他电子方式下以明文方式传输。
当使用SNMP 时,communication string 不允许使用缺省的Public 、Private
和system 等,并且该communication string 不应该和系统的其他口令相同,应
该尽量使用SNMPv2 以上的版本。
4.2口令指南
口令的设置按照系统需要的不同保障级别需要遵照不同的指南:
一级保障系统可以不参考本口令指南二级保障系统和三级保障系统的普通用户应该参考本指南三级保障系统的管理员用户和四级保障系统的所有用户应该严格执行本指南以上的要求作为一个基本原则,在评估各系统的时候,应该明确各系统中的各类用户实际应该遵守的口令级别的例外情况。
4.2.1 口令生成指南
对于不使用一次性口令牌的账号,用户应该有意识地选择强壮的口令(即难以破解
和猜测的口令),弱口令有以下特征:
口令长度少于8 个字符;
口令是可以在英文字典中直接发现的英文单词;
口令比较常见,例如:
家人名字、朋友名字、同事名字等等
计算机名字、术语、公司名字、地名、硬件或软件名称
生日、个人信息、家庭地址、电话
某种模式的,例如aaabbb、asdfgh、123456、123321 等等
任何上面一种方式倒过来写
任何上面一种方式带了一个数字
强壮的口令具备以下特征:
同时具备大写和小写字符
同时具备字母、数字和特殊符号,特殊符号举例如
下!@#$%^&*()_+|~-=\`{}[]:";'<>?,./)
8 个字符或者以上
不是字典上的单词或者汉语拼音
不基于个人信息、名字和家庭信息
口令不应该记在非经特别保护的纸面上,不能未经加密存储在电子介质中。口
令不应该太难记忆。
4.2.2口令保护指南
工作中的账号口令不要和个人其他账号口令相同。尽量做到不同用途使用不同口
令,例如:Unix 系统口令和NT 系统口令最好不同。
不要把自己口令共享给他人。
这是一个禁止的行为的清单
不要在email 中写口令
不要给你上司口令(特权账号口令备份是个例外)
在别人面前谈论的时候,不要提到口令
不要暗示自己口令的格式不要在调查中给出口令
不要告诉家人口令休假时不要把自己口令告诉他人
如果有任何人需要口令,请他参照本文档。不要使用非电信公司授权和许可的口令记
忆软件。如果口令可能被破解了,应立即报告网络与信息安全办公室,并且变更所有
信息系统帐号管理系统规章制度
信息系统帐号管理制度 第一节总则 第一条为加强用户帐号管理,规范公司信息系统用户帐号的使用,确保用户帐号的安全性,特制定本制度。 第二条本制度中系统帐号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户帐号。 第三条用户帐号申请、审批及设置由不同人员负责。 第四条系统拥有部门负责建立《岗位权限对照表》(附件六)。 第五条本制度适用于公司总部和各分、子公司(含郑州研究院)。 第二节普通帐号管理 第六条申请人使用统一而规范的《帐号/权限申请表》(附件七)提出用户帐号创建、修改、删除/禁用等申请。 第七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的普通用户帐号申请进行审批。 第八条信息部负责人根据《岗位权限对照表》对系统层面的普通用户帐号申请进行审批。 第九条帐号管理人员建立各种帐号的文档记录,记录用户帐号的相关信息,并在帐号变动时同时更新此记录,具体内容见《用户帐号记录》(附 件八)。具体流程参见《普通帐号管理流程》(附件一)。 第三节特权帐号和超级用户帐号管理 第十条特权帐号指在系统中有专用权限的帐号,如备份帐号、权限管理帐号、系统维护帐号等。超级用户帐号指系统中最高权限帐号,如root 等管理员帐号。
号。 第十二条信息部每季度查看系统日志,监督特权帐号和超级用户帐号使用情况。 第十三条尽量避免特权帐号和超级用户帐号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。 第十四条临时使用超级用户帐号必须有监督人员在场记录其工作内容。 第十五条超级用户帐号临时使用完毕后,帐号管理人员立即更改帐号密码。 具体流程参见《特权帐号和超级用户帐号管理流程》(附件二)。 第四节临时帐号管理 第十六条使用临时帐号时(如内外部审计人员、临时岗位调动人员),须填写统一的《帐号/权限申请表》(附件七)。 第十七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的临时用户帐号申请进行审批。 第十八条信息部负责人根据《岗位权限对照表》对系统层面的临时用户帐号申请进行审批。 第十九条帐号管理人员负责临时帐号的建立和记录。 第二十条临时帐号使用完毕后,申请人及时通知帐号管理人员注销临时帐号。 具体流程参见《临时访问帐号管理流程》(附件三)。 第五节紧急帐号管理 第二十一条根据紧急事件的等级建立相应权限的紧急帐号,专门处理紧急事件。第二十二条帐号管理人员负责紧急帐号的下发和记录。 第二十三条紧急帐号使用人员必须在事件处理完毕后补办相关手续。 第二十四条紧急帐号使用完毕后,紧急帐号使用人员及时通知帐号管理人员禁
计算机系统操作权限管理制度
计算机系统操作权限管理制度 为了进一步加强**管理,规范**部门业务工作,建立和完善***内部监督制约机制,确保国家有关法律、法规的严格执行,特对岗位权限设置做以下规定: 一、本规定适用范围为**业务岗位。 二、**业务岗位人员应当由正式担任,并经上级**部门业务培训,考试合格取得上岗资格。 三、岗位设置要利于提高工作效率,利于相互监督,突出便民利民,符合《机动车登记规定》、《机动车驾驶证申领和使用规定》、《机动车登记工作规范》、《机动车驾驶证业务工作规范》、《车辆管理所业务岗位规范》和《十七项便民利民措施》等规定。 四、**所各岗位权限设置由**所办公会集体研究后,制定详细的权限,交**所系统管理员进行设定。 五、部门新增用户和更改用户权限,应当以正式文件报支队**所审批后,交**所系统管理员设置。 六、发生人事变动和**所人员调整交流,**所应当及时与上一级**所联系,组织有关培训学习。经考试合格后按照本规定第四、五条办理。 七、系统权限设置后,操作人员要及时更换密码,妥善保管个人由工号和口令,因工号、口令遗失造成后果的,由
操作员本人负责,操作员严禁使用他人工号登录办理业务。 八、严禁把系统密码交给聘用(工勤)人员并直接办理业务;严禁私自更改计算机 IP地址;严禁在办理
**业务的计算机上安装与工作无关的软件。 九、系统管理员要定期核查业务办理和权限使用情况,发现问题及时向所领导汇报。 十、系统管理员应将所有授权人员登记造册,备案;对因工作调动等原因不再办理业务的,应及时取消授权。 (注:文档可能无法思考全面,请浏览后下载,供参考。可复制、编制,期待你的好评与关注)
公司审批权限管理制度三篇
公司审批权限管理制度三篇 篇一:XX股份有限公司审批权限管理制度 为便于公司各业务人员办理合同和款项支付审批手续,现对各类业务合同和款项支付的审批权限,作如下规定。 一、关联交易 (一)公司与关联自然人发生的交易金额在30万元以上的,由董事会批准;交易金额不超过30万元的,由总经理办公会审批。 (二)公司与关联法人发生的交易金额在300万元及以上,由董事会批准;交易金额低于300万元的,由总经理办公会审批。 (三)公司与关联方发生的交易金额在3000万元及以上的,由股东大会批准。(四)需经董事会、股东大会批准的关联交易合同,由董事长签署,总经理办公会批准的关联交易合同,由总经理签署。 二、对外担保 (一)公司对外担保事项,均须董事会审议批准。 (二)以下对外担保事项,经董事会审议通过后,还须报股东大会批准。 1、公司及控股子公司对外担保总额,超过最近一期经审计的公司净资产的50%以后提供的任何担保。 2、连续十二个月内担保金额超过公司最近一期经审计净资产的50%,或超过最近一期经审计总资产的30%。 3、为资产负债率超过70%的担保对象提供的担保。
4、单笔担保金额超过最近一期经审计的净资产10%的担保。 5、对股东、实际控制人及其关联方提供的担保。 (三)公司的对外担保合同,由董事长签署。 三、对外投资 (一)在一个财务年度内,累计投资金额不超过2500万元的,由董事长负责批准;超过2500万元,低于最近一期经审计确认净资产50%的,由董事会审议批准;超过公司最近一期经审计净资产50%的,由股东大会审议批准。 (二)单个项目投资额低于2500万元的,由董事长负责批准;超过2500万元,低于最近一期经审计确认净资产50%的,由董事会审议批准;超过公司最近一期经审计净资产50%的,由股东大会审议批准。 (三)公司进行证券投资、委托理财和衍生产品投资的审批权限如下。 1、单笔投资额不超过1000万元的,由董事会审议批准;超过1000万元的,由股东大会审议批准。 2、累计投资不超过2000万元的,由董事会审议批准;超过2000万元的,由股东大会审议批准。 3、对外投资、委托理财合同,由董事长签署;证券投资和衍生产品投资的资金划拨,由董事长审批、财务总监联签。 四、购买、出售、置换资产(包括房屋、设备等固定资产,土地使用权、商标、专利权等无形资产及其他财产权利)。 (一)成交金额不超过1000万的,由总经理审批。 (二)成交金额超过1000万,不超过2500万的,由董事长审批。 (三)成交金额超过2500万的,由董事会审批。
信息系统密码管理规定
信息系统密码管理规定 第一条为了加强风险管理,强化保密工作,提高公司信息系统得安全性,保障信息系统得正常运行以及业务 数据安全,防止黑客攻击与用户越权访问,防止 公司重要信息得丢失、泄漏与破坏,建立科学、规 范得信息系统密码管理规范,特制定本规定。 第二条本制度所指信息系统密码,包括以下几种类型: 1.公司所有业务系统普通用户密码(包括NC、即时通 讯、上网行为、邮箱、视频会议等业务登录密码); 2.公司所有业务系统权限管理员与系统运维管理员密 码(包括业务系统、网站系统、邮箱系统、安全审计 系统、备份系统、虚拟化系统、防病毒安全系统、 视频会议系统、存储系统等后台管理密码); 3.应用服务器管理密码(包括运行业务系统服务器、 网站服务器、邮件服务器、安全审计系统服务器、 备份系统服务器、虚拟化系统服务器、防病毒安全 系统服务器、存储设备等登录密码); 4.系统数据库管理员密码; 5.其她网络应用及网络系统(路由器、交换机、上网行 为、VPN等)管理员密码; 第三条应用系统服务器、数据库、网络系统,自身包含有完整得多级权限管理体系。这些系统得最高权限 分配得其她权限得密码,也需遵守本规定; 第四条公司业务系统普通用户得密码设置规范要求如下:
1.密码长度不得低于6位; 2.密码必须包含字母(a-z,A—Z)、数字(0-9)、 特殊字符(!#$%^&*)中得两种; 3.密码必须6个月更换一次,并且新密码不得与原密 码相同; 第五条对以下密码: 1.司所有业务系统权限管理员与系统运维管理员密 码; 2.应用服务器管理密码; 3.系统数据库管理员密码; 4.其她网络应用及网络系统管理员密码; 其设置规范,应符合以下要求: 1.密码不得低于8位; 2.密码必须包含大小写字母、数字及特殊符号; 3.密码必须每3个月更换一次,并且新密码不得与原 密码相同; 第六条信息系统密码设置规范得系统控制: 1.应用系统应控制密码得有效期,通过设置,强行要求 用户定期进行密码修改,减少密码被盗用得可能性; 2.用户密码唱得与编码规则限制。强行要求用户密码 符合长度与复杂性要求; 3.系统控制第一次登陆后必须马上更改初始密码; 4.设置用户密码输入错误次数.再密码错误输入三次 后,系统锁定登录用户。用火狐必须通知信息化部
管理信息系统权限管理制度(定稿)
XXXXXX有限公司 管理信息系统权限管理制度 XXX-XX-XX 第一章总则 第一条目的 为规范公司管理信息系统的权限管理工作,明确不同权限系统用户的管理职责,结合公司实际情况,特制定本管理制度。 第二条定义 (一)管理信息系统:包含已经上线的财务会计、管理会计、供应链、生产制造、CRM(客户关系管理)、决策管理和后续上线的所有管理信息系统模块。 (二)权限:在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。 (三)操作员:上述软件系统使用人员。 第三条适用范围 本制度适用于XXXXXX有限公司(以下简称XXXX、公司)、XXXXXXX有限公司、XXXXXX有限公司、XXXXXXXX有限公司。 XXXX股份有限公司控、参股的其他公司,应结合本公司实际情况,参照本制度制定相应管理制度,报XXXX质量信息部备案。 第二章职责划分 第四条管理信息系统管理部门 公司的管理信息系统由质量信息部负责管理和维护,同时也是管理信息系统用户权限的归口管理部门,主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。 第五条管理信息系统操作部门 除管理信息系统管理部门外,其他使用管理信息系统的部门,均为管理信息系统的操作部门,使用人员为各岗位操作员。
具体岗位职责如下: (一)负责岗位信息系统权限的申请及使用,并对权限申请后形成的业务结果负责。 (二)负责所使用模块的数据安全。 第六条管理信息系统系统管理员 管理信息系统的系统管理员由质量信息部指派,并报公司管理层领导备案。 系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份,并定期进行管理信息系统安全审计。 第三章用户权限管理 第七条用户权限申请 各部门依据实际工作情况,当需要新增/变更/注销管理信息系统的用户权限时,可由操作员本人或所在部门领导指派的专人,填写《ERP权限新增/变更/注销申请表》(参附件1)。 第八条用户权限审批 《ERP权限新增/变更/注销申请表》由申请人提交,经所在部门领导、分管领导及质量信息部部门领导审批同意后,报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后,填写申请表中系统管理员之相应内容并存档。 第九条用户权限配置 用户权限审批通过后,系统管理员将在两个工作日内完成权限新增/变更/注销工作,并以电子邮件通知申请人以及部门领导。 第十条用户权限测试 申请人在接到权限开通通知后,须在三个工作日之内完成系统权限测试,如有问题可通过电子邮件(包含问题的文字说明及截图)反馈到系统管理员。系统管理员应及时给予解决,并将处理结果通过电子邮件及时反馈给申请人。 在三个工作日之内无问题反馈的,系统管理员将视此权限设置正确,后续如有问题将按照用户权限申请流程处理。
信息系统信息设备和保密设施设备管理制度
信息系统、信息设备和保密设施设备管理制度 1.信息系统、信息设备和保密设施设备管理总则 1)为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《保密工作概论》、《保密法规汇编》等国家有关规定,结合公司实际,特制定本制度。 2)公司涉密计算机信息系统为单机涉密计算机信息系统,保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则。 3)本规定适用于使用公司涉密计算机信息系统的部门和个人。 4)本制度所称涉密计算机是指公司所属各部门按照本规定明确的程序,经过申报、登记、审定,并在公司保密办公室备案的计算机。信息系统是由计算机及其配套设备、设施构成,按照一定的应用目标和规则存储、处理、传输信息的系统或网络。信息设备是指计算机及其存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。 2.责任分工 1)公司技术部经理负责涉密信息系统、信息设备的保密安全管理工作。涉密信息系统、信息设备的使用部门指定专人负责本部门计算机信息系统安全保密管理,对本部门涉密信息系统的安全保密负主要责任。 2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。 3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。 4)公司各涉密部门需设系统管理员、安全保密员,按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。 3.涉密计算机的确定及变更 1)公司涉密计算机实行申报登记制度。凡涉及国家秘密的单位拟用于处理国家秘密信息的计算机、涉密信息系统必须经过申报、登记、审定,并在公司保密
信息系统账号管理制度最新版
信息系统账号管理制度 第一节总则 第一条为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户账号。 第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理。 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。 第五条信息中心根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。 第六条用户账号申请、审批及设置由不同人员负责。 第二节普通账号管理 第七条申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、删除/禁用等申请。 第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致,确保权限分配的合理性、必 要性和符合职责分工的要求。 第九条在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号或禁用用户账号权限,以使用户对其行为 负责。一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的 账号。 第十条新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。 第十一条人员离职的情况下,该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后,人力资源部需通过邮件或书面的方式通知员工所属部门主
管负责该员工权限收回的工作。员工所属部门主管根据该用户的岗位申请 删除离职人员账号及权限。 第十二条账号管理人员建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。 第三节特权账号和超级用户账号管理 第十三条特权账号指在系统中有专用权限的账号,如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号,如administrator (或admin)、root等管理员账号。 第十四条只有经授权的用户才可使用特权账号和超级用户账号,严禁共享账号。 第十五条信息中心每季度查看系统日志,监督特权账号和超级用户账号使用情况,并填写《系统日志审阅表》(附件三)。 第十六条尽量避免特权账号和超级用户账号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。 第十七条临时使用超级用户账号必须有监督人员在场记录其工作内容。 第十八条超级用户账号临时使用完毕后,账号管理人员立即更改账号密码。 第四节用户账号及权限审阅 第十九条系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅,并填写《账号/权限清理清单》(附件四)。 第二十条信息中心指定专人负责每季度对系统层面账号及权限进行审阅,并填写《账号/权限清理清单》。 第二十一条员工离职后,账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员,则及时更改特权账号或超级用户口令。
办公系统使用管理制度
OA办公系统使用管理制度 一、系统使用规定: 1、网上办公系统为我司内部办公系统,禁止非我司员工登陆或使用本系统。 2、我司每位正式员工拥有专用的用户名和密码,系统将自动记录每位员工的登陆情况,请全体员工正确使用系统,保护好自己的用户名和密码,如发现盗用用户名、密码现象,应立即报告主管领导,并通知系统管理员。 3、所有员工上班时必须打开办公自动化系统,下班后方可关闭。 4、如使用本企业以外的公用设备(如网吧)登陆系统,请在使用后删除电脑中的记录。 5、原则上在OA平台严禁上传涉密的文件、技术资料、档案等;员工不得随意让我司无关人员及外部人员查看OA系统中的内容,更不允许下载受控的内容。 6、员工不得发送与工作无关的信息,如有违反,一经发现将严肃处理。 7、员工不得利用系统发布反动、色情、低级趣味以及国家法律禁止的相关信息,如有违反,将严肃处理,情节严重的将追究法律责任。 8、对于恶意操作行为,我司将予以严惩,直至诉诸法律。 二、系统故障应急规定: 发现系统无法正常使用或数据处理有误,应在第一时间通知系统管理员,并转告相关业务接口部门,相应的业务数据可临时改为手工处理、传送。故障排除后,系统管理员将发布通知,相关部门应将故障期间的信息、数据补录入系统,并恢复网上办公。 三、系统用户资料变更规定: 1、遇有人员、人事调整时需要调整OA系统组织信息及相关权限的,需由调入部门填写《系统权限申请表》由相关部门分管领导及人力资源部确认后通过OA系统流程表单通知系统管理员办理用户变更操作。 2、员工应该保持OA中个人手机号码为最新号码,如变更手机号码,应及时更新,或通知人力资源部备案,保证能顺利收到公司通知等信息。 4、涉及系统资料变更一律按照以上流程执行,如遇特殊情况或者紧急情况,处理后要补办备案手续。 四、系统应用范围 目前可以使用的工作流包括:收文、发文,工作交办,办公用品申领,请假
集团公司审批权限管理制度
XX-(HR)字[2018]第16号 司属各公司、各部门: 《员工退休管理办法》已由XXX(集团)有限公司总裁批准通过,现予公布,请各公司、各部门遵照执行。 本制度自2018年7月1日起施行。 XX集团有限公司 2018年5月28日
第一条目的 1.1为进一步加强企业内控、规范审批流程,特制定本制度。 1.2各单位应本着规范、安全、高效、合理的原则严格执行本制度。 第二条适用范围 2.1本制度适用于XXX总部各部门及境内各分(子)公司和办事处。 第三条管理原则 3.1各单位涉及到预算编制、资本性支出、签订合同、费用报销、员工管理、薪资管理、往 来款项管理、纳税申报等事宜,应按照本制度附表《管理审批权限表》对应规定的权限及审批流程执行。 3.2各单位制定的其他各种制度流程、审批权限应不得与本制度冲突,若有任何地方与本制 度抵触,应以本制度规定的流程及权限为准。 3.3各单位可在本制度标准范围内,制定更加细化、更加符合当地公司管理要求的管理办法。 第四条审批权限 4.1本集团采用“自下而上”与“自上而下”相结合的方式编制年度预算,集团年度预算应 由董事会批准执行;各单位年度预算应由集团总部各主管部门审核并经集团最高负责人批准后执行。 4.2各单位资本性支出应按《管理审批权限表》及集团颁发的《资产管理制度》规定的权限 及审批流程执行。 4.3各单位签订合同应按《管理审批权限表》及集团颁发的《合同管理制度》、《XXX会计制 度》规定的权限及审批流程执行。 4.4各单位费用报销应按《管理审批权限表》及集团颁发的各种费用报销管理制度规定的权 限及审批流程执行;凡是超过集团规定的标准(上限)或超过月度(或季度、年度)预算的各种费用,必须经集团总部各主管部门及相关负责人审核、批准后方可报销。 4.5各单位招聘人员、任免及调动干部、发放薪资、支付奖金等应按《管理审批权限表》及 集团颁发的人事及薪酬管理制度规定的权限及审批流程执行。 4.6各单位员工因公借款及坏账报损核销应按《管理审批权限表》及集团颁发的《合同管理 制度》规定的权限及审批流程执行。 4.7各单位计提、缴纳税款应按《管理审批权限表》及集团颁发的《XXX会计制度》、《XXX 税务管理制度》规定的权限及审批流程执行。 第五条处罚规定 5.1任何单位若违反本制度及相关管理制度规定,应严格追究单位(或部门)负责人及有关直 接责任人的责任(包括但不限于警告、通报、罚金、降职、解聘);给公司造成经济损失及不良影响的,还应按损失金额的一定比例追究相关管理人员及责任人员的赔偿责任。 5.2各单位应规范建立考核机制,任何人违反本制度及相关管理制度规定,应及时考核记录, 并纳入评优、加薪、晋升等考核范围。
账号权限及密码管理制度
账号权限及密码管理制度 一、账号权限管理 1.做好系统管理员、业务管理员的备案;同时做好系统用户备案管理。 2.业务管理员需定期检查相关系统的账号权限分配情况,确保落实权限最小 化原则。角色分配应与岗位需求吻合,避免功能扩大。同一账户被赋角色 不得存在功能互相矛盾、嵌套情况。严格控制隐私信息查询、浏览、导出 权限。 3.限制超级账号的使用,并做好相应的使用审计工作。 4.业务管理员应及时解除无用账号相应权限,系统管理员应定期检查并禁用 或注销无用账号。 二、密码产品 1.使用符合国家密码管理规定的密码技术和产品。 2.密码算法和密钥的使用符合国家密码管理规定。 三、密码的设置 1.服务器的密码,由安全管理员和系统管理员商议确定,必须两人同时在场 设定。 2.服务器的密码须安全管理员在场时要由系统管理员记录封存。 3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少 于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密 码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。 4.密码要定期更换:一般重要设备密码更换周期不得多于180天; 四、密码和口令的保存 1.服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人; 若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成 工作后,系统管理员应该及时更改密码,保证密码安全。 2.服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备 案记录交于网络管理中心负责人封存。 3.密码更换后系统管理员需将新密码或口令记录登记封存。 4.如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心 负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查
信息系统帐户密码管理规定
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
信息系统用户和权限管理制度
信息系统用户和权限管理制度;第一章总则;第一条为加强信息系统用户账号和权限的规范化管理,;第二条本制度适用于场建设和管理的、基于角色控制和;法设计的各型信息系统,以及以用户口令方式登录的网;网站系统等;第三条信息系统用户、角色、权限的划分和制定,以人;第四条场协同办公系统用户和权限管理由场办公室负责;第五条信息系统用户和权限管理的基本原则是:;(一)用户、权 信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于场建设和管理的、基于角色控制和方 法设计的各型信息系统,以及以用户口令方式登录的网络设备、 网站系统等。 第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。
第四条场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第六条系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第七条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。
岗位职责和权限管理制度
1 目的 对各部门岗位的职责和权限进行明确规定,确保人人有事做、事事有人做,有章可依、有责可究。 2 范围 适用于组织结构图中各部门 3 职责和权限 3.1经理 3.1.1主持公司全面工作,制定颁布质量、食品安全、环境方针,批准质量、食品安全、环境目标指示和管理方案。 3.1.2作为企业产品质量、食品安全、环保第一责任人,确保对质量、食品安全、环境管理体系进行策划,对企业的产品质量、食品安全和环境负第一责任。 3.1.3落实组织结构,确保组织内的职责和权限得到确定和沟通;落实各级质量、环保、食品安全责任制,充实管理人员。 3.1.4保证为公司管理体系持续有效运行配备所需的资源和资金。 3.1.5贯彻国家方针、政策、法律、法规,主持公司重要的质量、食品安全、环保、安全生产等工作会议。 3.1.6指导、协调、监督和检查各部门的工作,对各部门工作中出现的问题进行纠正 3.1.7组织制订、修订公司各部门的质量、食品安全、环境、安全生产规章制度,并认真组织实施 3.1.8批准合格的供应商。 3.1.9一切对股东负责。
3.2财务部 3.2.1建立公司的会计、财务制度并实施。 3.2.1做好成本计算和核算,负责日常会计出纳工作,按时发放工作奖金,及时向经理汇报各类财务报表,反映公司资产状况、盈亏情况和资金流动状况,为公司各项决策提供及时准确的财务依据; 3.2.2严格执行财务制度,帐目清楚,单据齐全,杜绝出现坏帐、混帐,有特殊情况及时向经理报告。 3.2.3接受经理查询、监督,不得随意泄露财务机密。 3.2.4妥善处理各种突发性财务事件,协助经理协调公司内外各种财务关系,保障公司质量、食品安全和环境管理所需资金。 3.2.5对股东负责。 3.3销售部 3.3.1协助经理开展市场调研工作,收集、分析市场信息,研究市场对策,做好产品的市场定位和开拓工作。 3.3.2了解客户需求,建立客户档案并保存。 3.3.3负责产品交付并组织实施售后服务,将售后服务的信息反馈给有关部门 3.3.4对有业务关系的客户进行宣传公司的质量、食品安全、环境方针和管理情况。 3.3.3以最好的服务态度对待顾客,认真询问顾客要求,及时反馈顾客意见,尽量满足顾客合理要求,广交客户,创新营业额,提高公司盈利水平。 3.3.4做好公司机动车辆的年检和驾驶员的年审,做好车辆保养、清
系统账号管理制度
系统账号管理制度第一节总则
第一条为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户账号。第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除/禁 用等的管理。 2、系统层面用户账号的申请、审批、分配、删除/禁 用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原 则,对具体岗位做出具体的权限管理规定。 第五条信息技术部根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。 第六条用户账号申请、审批及设置由不同人员负责。
第二节普通账号管理 第七条申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、删除/禁用等申请。 第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否 与其岗位一致,确保权限分配的合理性、必要性和符 合职责分工的要求。 第九条在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号 或禁用用户账号权限,以使用户对其行为负责。一旦 分配好账号,用户不得使用他人账号或者允许他人使 用自己的账号。 第十条新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。 第十一条人员离职的情况下,该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后,人力资源部需 通过邮件或书面的方式通知员工所属部门主管负责该 员工权限收回的工作。员工所属部门主管根据该用户
医院应用信息系统用户帐与角色权限管理办法
XX医院 应用信息系统用户帐号与角色权限管理办法 (讨论版) 新津县妇幼保健院信息科 二○一五年四月
目录 2 适用范围............................................................ 3 术语和定义.......................................................... 4 用户管理............................................................ 用户分级............................................................ 用户分类............................................................ 用户角色与权限关系.................................................. 用户帐号实名制注册管理.............................................. 5 用户帐号申请与审批.................................................. 帐号申请............................................................ 帐号审批和开通...................................................... 6 安全管理............................................................ 帐号安全........................................................... 密码安全........................................................... 信息安全........................................................... 7 档案管理............................................................ 附表1应用信息系统角色与权限关系对照表(表样)......................... 附表2用户帐号申请单................................................... 附表3用户帐号批量申请单............................................... 附表4用户帐号管理工作登记表........................................... 1目的 为加强新津县妇幼保健院信息科计算机中心(以下简称:中心)应用信息 系统用户帐号和用户权限申请与审批的规范化管理,确保中心各应用信息系统 安全、有序、稳定运行,特制定本管理办法。
企业级应用系统权限管理办法
企业级应用系统权限管理办法(暂行) 一、目的 为加强企业级应用系统权限管理,保证公司应用系统所涉及各类信息安全,不因系统权限设置发生信息泄密事故,特制定本管理办法。 二、适用范围 本办法适用于公司上线的企业级应用系统。 三、权限设置原则 (一)公司各应用系统权限设置分为“功能权限”和“数据权限”。功能权限指应用系统中为完成某项业务所开发的系统功能,“数据权限”指使用某项功能时可获取的数据范围。 (二)功能权限原则上授予各工作岗位,按照岗位从事的业务范围和职责授予该岗位相应的功能权限,处于该工作岗位的员工自动获得该岗位的功能权限;公司总经理、信息化领导小组组长的功能权限为系统中所有查询、统计类权限;各业务主分管领导功能权限为所主分管各业务部门所拥有的查询、统计类权限合集。 (三)数据权限设置分主分管领导、系统管理员、总部部门、项目经理部分别设置。一般情况下,总经理、信息化领导小组组长、系统管理员数据权限为系统所有数据;主分管领导数据权限为所主分管各业务部门数据权限合集;总部部门数据权限为相应系统功能中所有数据;项目数据权限为本项目数据。 (四)企业级应用系统上线时,应同时完成系统权限分配表的签发工作,系统权限设置以权限分配表为依据。 四、岗位人员设置 (一)应用系统中各岗位人员设置,公司有明确规定的,按照公司规定设置。 (二)应用系统中各岗位人员设置,公司无明确规定的,由各单位申报名单,按申报名单设置。 五、权限管理职责 (一)信息化领导小组组长是信息化系统权限管理最高领导,全面负责信息化系统权限管理工作,负责信息化系统权限分配表的批准、签发。 (二)信息管理室作为企业级信息化系统权限管理的牵头部门,负责指定各应用系统系统管理员;负责制定权限分配表,并根据公司管理需要、系统功能调
账号密码及权限管理制度
XXXX公司 账号密码及权限管理制度 1总则 1.1 目的 为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。 1.2 范围 所有使用本公司网络信息系统的人员。 1.3 职责 公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。 1.4 术语和定义 内部网络:是指在本公司内部所有客户端等组成的局域网。包括但不限于OA 系统以及数据库系统等。 2控制内容 1.1 用户注册 ?新用户必须加入域,否则不允许入网。 ?域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名 原则为职工工号。
?一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对 其操作行为负责。 ?用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有 账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规 避风险。 ?系统管理员应定期检查并取消多余的用户账号。 1.2 权限管理 ?行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申 请是否与信息安全策略相违背。 ?特权用户必须按授权程序通过系统等部门主管批准,才可给予相应的权 限。 ?系统管理员应保留所有特权用户的授权程序与记录。 ?权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户 的单独监控。 ?只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。 ?系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授 予权限。 ?对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待 者申请为其办理授审批程序。 1.3 密码的选择 密码的选择应参考以下规则:
信息系统帐号管理制度
信息系统帐号管理制度. 第一节总则 为加强用户帐号管理,规范公司信息系统用户帐号的使用,确保用第一条户帐号的安全性,特制定本制度。 本制度中系统帐号是指应用层面及系统层面(操作系统、数据库、第二条防火墙及其它网络设备)的用户帐号。 用户帐号申请、审批及设置由不同人员负责。第三条系统拥有部门负责建立《岗位权限对照表》(附件六)。第四条本制度适用于公司总部和各分、子公司(含郑州研究院)。第五条第二节普通帐号管理 申请人使用统一而规范的《帐号/权限申请表》(附件七)提出用户第六条帐号创建、修改、删除/禁用等申请。 帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限第七条对照表》对应用层面的普通用户帐号申请进行审批。 信息部负责人根据《岗位权限对照表》对系统层面的普通用户帐号第八条申请进行审批。 帐号管理人员建立各种帐号的文档记录,记录用户帐号的相关信息,第九条并在帐号变动时同时更新此记录,具体内容见《用户帐号记录》(附件八)。具体流程参见《普通帐号管理流程》(附件一)。 第三节特权帐号和超级用户帐号管理 特权帐号指在系统中有专用权限的帐号,如备份帐号、权限管理帐第
十条号、系统维护帐号等。超级用户帐号指系统中最高权限帐号,如root等管理员帐号。 只有经授权的用户才可使用特权帐号和超级用户帐号,严禁共享帐 第十一条号。. 信息部每季度查看系统日志,监督特权帐号和超级用户帐号使用情 第十二条况。 尽量避免特权帐号和超级用户帐号的临时使用,确需使用时必须履 第十三条行正规的申请及审批流程,并保留相应的文档。 临时使用超级用户帐号必须有监督人员在场记录其工作内容。第十四条超级用户帐号临时使用完毕后,帐号管理人员立即更改帐号密码。第十五条具体流程参见《特权帐号和超级用户帐号管理流程》(附件二)。第四节临时帐号管理 使用临时帐号时(如内外部审计人员、临时岗位调动人员),须填写第十六条统一的《帐号/权限申请表》(附件七)。 帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限 第十七条对照表》对应用层面的临时用户帐号申请进行审批。 信息部负责人根据《岗位权限对照表》对系统层面的临时用户帐号第十八条申请进行审批。 帐号管理人员负责临时帐号的建立和记录。第十九条临时帐号使用 完毕后,申请人及时通知帐号管理人员注销临时帐号。第二十条具体流程参见《临时访问帐号管理流程》(附件三)。 第五节紧急帐号管理
系统用户及权限管理制度
航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;应急用户的管理;用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作,并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。
第六条 用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一: 1、因工作需要新增或修改用户ID; 2、用户ID持有人改变; 3、用户ID封存、冻结、解冻; 4、单位或部门合并、分离、撤消; 5、岗位重新设置; 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条