1、系统帐号、口令及权限管理规范
第一章 总则
第一条 为规范证券系统管理层面的访问控制管理,加强系统账号、口令、审批、授权等方面的管理,根据相关政策制度和《证券股份有限公司信息系统运维管理制度》,制定本规范。
第二条 本规范适用于信息技术部所有信息系统及网络设备的访问控制管理活动。
第三条 账号、系统账号:信息系统中的特定身份标识,一般对应到一个使用信息系统的用户或者处理程序。权限:账号在信息系统中执行相应操作的权力。
第二章 管理办法
第一节 访问控制总体要求
第四条 每个系统必须有系统管理人员进行账号与权限管理,所有系统账号的增加、变更(帐号密码变更除外)、删除必须经授权后
2、统一实施操作,其它人员不得擅自进行系统账号的增加、变更(帐号密码变更除外)、删除等操作。
第五条 系统必须明确各系统账号、权限分类、及对应的用户等信息。
第六条 所有用户以及权限的设置和变更由双人进行,一人进行设置,一人进行复核
第七条 各系统在不影响运行效率的前提下应开启系统安全日志功能,能够记录系统的登录和访问时间、操作内容。
第八条 创建账号、变更账号以及撤销账号的过程中,都要经过严格的审批流程,并对处理流程留档。
第九条 确保系统帐号的唯一性,使每个账号在某个特定时间只能被一个用户拥有。
第十条 使用其它技术手段确保用户在系统上的操作可以追溯到具体操作人员。
第十一条 根
3、据最小权限和职责分离原则,对系统账号进行分类,根据用户实际工作的需要按最小权限原则进行授权,确保用户不会获得超过实际工作需要的权限。
第十二条 一般情况下,不能使用超级用户作为日常系统管理、操作账号或者程序账号。
第十三条 一般情况下,系统间不能使用Rlogin等远程登录服务。
第二节 密码管理规范
第十四条 系统账号密码的长度应不少于12个字符。
第十五条 系统账号密码必须至少为数字、字母大写、小写三种字符的组合。
第十六条 密码中不能包含帐号名称或用户姓名等, 不是任何语言的单词。
第十七条 不能使用缺省设置的密码。
第十八条 密码应设置登录尝试次数限制,特殊系统经评估许可
4、的除外。
第十九条 系统账号密码应定期或不定期进行更换,更换周期最长为三个月。
第二十条 系统账号密码相同密码的设置应至少相隔三代。
第二十一条 用户在第一次使用账号时或请求密码重置后,必须修改初始、缺省密码。
第二十二条 重要密码(比如系统超级用户的密码等)必须分段管理,并且保存在密码信封中以备应急。密码信封应由专人妥善保存。
第二十三条 重要密码任何时候都不应以明码形式存在于应用程序、技术文档或相关记录中。
第二十四条 重要密码应安排专人负责设置、管理和更新,对重要密码的使用、更改必须进行详细登记记录,记录中应包含密码使用的申请、审批、使用情况等信息。
第二十五条 对于系统
5、重要性高、资产价值高、威胁可能性高可以使用强度更高的认证机制。
第三节 账号创建与变更
第二十六条 创建的账号类型必须符合访问控制总体要求,账号密码设置必须符合密码管理规范中的要求。账号授权必须符合最小权限、职责分离和按需授权的原则,不能授予超过用户实际需要的权限或违反职责分离原则的权限。
第二十七条 账号申请人需要申请新建帐号或更改账号权限,必须走申请流程,按应用系统分类提交请求,经相应账号审批人审批。请求人应完整填写所申请系统的信息。
第四节 账号回顾与检查
第二十八条 系统管理员必须对必须定期进行账号与权限回顾,保证系统中帐号与权限与相关审批记录相符,确保系统权限管理的准确性。
6、
第二十九条 检查和审计,内容应包含并不仅包含如下几个方面:
(一) 员工实际已经离职,但仍在用户列表上;
(二) 员工岗位发生变化,但仍有原来的业务权限;
(三) 用户情况是否和备案的用户账号权限情况一致;
(四) 是否存在非法账号或者长期未使用账号;
(五) 是否存在弱口令账号。
第五节 账号撤销
第三十条 系统用户岗位变动或离职时,该用户所在部门必须及时通知相关系统管理员,及时撤销该用户的系统账号或授权。权限撤销必须经过权限变更审批流程。
第六节 权限管理
第三十一条 用户与权限设置按以下流程进行:
(一) 员工根据需要进行申请,填写变更流程单
(二) 直接领导进行变更审核
(三) 规范人员审核
(四) 安全人员审核
(五) 部门相关领导审批
(六) 用户与权限管理设置人员根据变更流程单进行设置
(七) 用户与权限管理复核人员对设置内容和流程进行复核
(八) 6)文档保管人员将各流程单归档保存
第三章 附则
第三十二条 本规范由公司信息技术管理部负责制定、解释和修改。
第三十三条 本规范自印发之日起实施。
浙ICP备2021020529号-1 | 浙B2-20240490 
