口令管理规定
附件 天津市电力公司 信息系统帐、口令管理规定(试行) 总则 条 了规天津市电力公司信息系统终端计算机、器、络设备、应用与系统相关帐、口令建立、使用、维护保证计算机安全和天津市电力公司信息系统正常有序运行特制定管理规定。
二条 规定适用所有使用公司信息系统用户包括数据库系统管理员、业系统管理员、络管理员、业系统使用人员。
二 术语释 三条 授权用户 天津市电力公司部人员指天津市电力公司册职工; 非天津市电力公司部人员指临到天津市电力公司工作但非天津市电力公司正式员工人员包括但不限开发商、集成商、供应商、顾问、合作人员、临工、外聘人员、外包业 人员等。
四条 帐 帐∶指系统设定可以访问系统部 或其他许可形式; 管理员帐指系统具有较权限能对络、应用、系统进行关键性设置权限账型用户系统管理员; 超级管理员帐指对系统具有超级权限帐包含但不限 X R rr 组成员数据库 B 等用户; 公用帐指供组人使用帐其合法使用人限组; 匿名帐供不确定身份人员使用帐。
五条 口令 口令指系统了认证帐使用人身份而要使用人提供证据如数据库系统口令办公动化系统帐件及帐口令; 健壮口令具有足够长和复杂难被猜测口令; 弱口令仅由母、单词、数或其简单组合 易被猜测口令。
三 帐建立 六条 系统要 天津市电力公司信息系统所使用计算机操作系统、业系统、数据库、络设备、应用软件等要支持基帐访问控制功能; 所有要使用口令应用软件、业系统都要对口令件提供妥善保护。
七条 帐申请原则 只有授权用户才可以申请帐; 任何系统帐设立必须按照规定相应流程规定进行具体流程见附录账、口令建立、变更、取消流程; 用户申请帐前应该接受适当培训以确保能够正常操作避免对系统安全造成隐患; 帐相应权限应该以满足用户要原则不得授予与用户职责无关权限; 任何帐必须是可以区分责任人责任人必须细化到人不得以部门或人组作责任人。
八条 公用帐 系统应当严格限制开设公用帐般情况下公用帐不得具有访问保密信息和对系统写权限; 公用帐应该设立责任人责任人必须是天津市电力公司部人员责帐正常使用及维护。
九条 匿名帐 匿名帐只被允许访问系统可公开不得访问任何部公开及部公开以上保密等级; 系统应对匿名账访问进行详细记录。
四 口令设立 十条 口令生成 帐分配必须生成相应口令并且与帐起传送给用户; 用户接受到帐和口令必须马上修改口令任何都不得存没有口令帐; 对系统帐验证只有口令作证据系统如帐名由确定且公开规则产生则口令不应当公开口令; 管理员传递帐和口令应当采取加密或其他安全传输途径以保证口令不会被途截取。
十条 口令设立原则 帐口令必须是具有足够长和复杂使口令难被猜测; 帐口令应定期进行修改; 新口令与旧口令应没有直接系以保证不可由旧口令推知新口令; 帐口令不应当取有义词语或其他如使用者姓名生日或其它易猜测信息。
十二条 口令低标准 普通用户口令长不得低 8 位近 6 口令不可重复口令必须包含母和数; 管理员和超级管理员帐口令长不得低 8 位近 0 口令不可重复口令必须包含母、数、口令出现不得多 次各口令相位置相不得多 3 口令不得有义单词或短语。
五 账变更 十三条 帐权限变更 用户工作职责发生变化造成现有职责与现有账权限不应当申请权限变更;管理员发现用户具有工作不要权限可以直接停止多余权限; 账权限变更必须按照规定相应流程规定进行具体流程见附录账、口令建立、变更、取消流程; 十四条 口令修改 用户应当定期修改帐口令修改口令隔应标准相关规定对标准没有规定用户口令修改隔应当 6 月; 用户必须管理员要更改口令进行更改口令;如用户拒绝配合管理员可以通知用户及其主管关闭用户帐以保证信息系统安全;用户如继续使用该帐必须通规定流程向管理员申请重新开通具体流程见附录账、口令建立、变更、取消流程; 用户丢失或遗忘口令必须通规定相应流程向管理员申请初试化口令用户接到回执应马上更改口令具体流程见附录账、口令建立、变更、取消流程; 管理员不可没有用户申请候私更改用户帐口令; 超级管理员帐口令属系统高机密应该严格限定使用围;其他人员确因工作要而使用超级管理员帐和口令应当向超级管理员帐和口令责任人申请口令并完成操作由责任人更改口令。
六 账取消 十五条 帐取消 用户如因职责变动而离岗不再要系统权限且无须将帐移交给其他责任人其原岗位主管应当申请帐销户由管理员取消其账; 用户离职管理员应当关闭用户系统所有权限; 账取消必须按照规定相应流程规定进行具体流程见附录账、口令建立、变更、取消流程。
七 账、口令维护 十六条 帐使用 任何帐只限申请程声明用户使用禁止其他人使用帐; 信息系统正式运行前必须更改系统缺省帐口令以保证正式环境安全; 用户不得使用帐访问与己工作无关。
十七条 用户责任与义 所有用户有义确保己口令安全系统帐与口令不得泄漏给他人避免使用弱口令; 对使用便携式计算机用户应确保设置开机B 口令; 使用远程登陆用户确保不将口令保留计算机上; 不将部应用系统使用帐和口令用其他人应用; 任何人不得公开其人或他人口令全部或部分; 严禁任何人通任何手段非法取得他人帐和口令进入系统; 任何人不得将其帐口令告无权使用帐人如用户种行导致其他人用帐造成对天津市电力公司信息系统影响帐持有人和造成影响行实施人有相责任; 严禁任何人利用系统安全漏洞访问其权限外。
十八条 系统管理员责任与义 确保除匿名帐外所有系统用户都必须有口令; 定期审计检系统用户数量和权限; 确保系统和络设备无默认帐和口令; 确保关键应用器启用口令强制策略; 对用户进行口令安全培训; 管理员不主机上应使用不帐和口令。
八 考核与处罚 十九条 对违反规定用户根据津电安监〔007〕36 《天津市电力公司安全生产工作奖惩规定》进行处罚。
二十条 如对安全生产造成影响则依据〔00〕05 《天津市电力公司信息系统事故调及考核办法》进行处理。
对违反国法律依法追究法律责任。
九 维护与释 二十条 规定由天津市电力公司科技信息部每年审视次根据审视结修订并颁布执行。
二十二条 规定释权归科技信息部。
二十三条 规定签发日起生效以前发布相关制作废。
附录 账、口令建立、变更、取消流程 、 用户填写面账申请单详细、正确填写相关容; 二、 由用户所部门主管进行申请容审并做批复; 三、 交科技信息部相关人员进行审批; 四、 对涉及天津市电力公司涉密信息账申请应交总理工作部进行审批; 五、 用户将申请单交科技信息部由科技信息部责进行账、口令建立、变更、取消。
科技信息部进行相应记录备案。
六、 当用户接收到账、口令应立即更改口令且口令强应合管理规定要。
七、 例外情况 因系统安全原因或紧急情况得到相关主管部门允许情况下不以上流程而执行帐操作。
附录二 账、口令建立、变更、取消申请表 编 申请日期 年 月 日 用户姓名 代办人员姓名 部人员填写 单位 部门 岗 位 职 系电话 外部人员填写 单位 涉及部门 系电话 申请项目 新建 □ 权限变更 □ 口令变更 □ 账取消 □ 相关应用、系统、设备 办公动化 □ 邮件 □ 应用 □ 应用名称_______________ 器 □ 器名称_______________ 络设备 □ 设备名称_______________ 权限描述 申请理由 部门主管审批 科技信息部审批 总理工作部审批(涉密账要) 备 用 户 签 。