山东外贸职业学院信息系统账号管理办法(试行)

发布者:发布时间:2024-06-11

第一章 总则

第一条 为进一步加强山东外贸职业学院信息系统(含平台、网站等)账号、口令及权限管理工作,规范信息系统账号和密码的使用,降低信息安全风险, 根据《中华人民共和国网络安全法》《中华人民共和国密码法》等法律法规,特制定本办法。

第二条 本办法适用于各部门对信息系统的各类账号与密码进行规范管理。

第二章 职责与权限

第三条 信息技术中心负责制定学院各类信息系统账号、密码制度及规范;指导学院信息系统账号、口令管控工作。

第四条 各部门负责对所属系统的账号密码进行管理。


第三章 账号管理

第五条 各部门负责对所属系统管理员账号(包括操作系统、数据库、关键业务和办公应用系统、网络设备及管理程序、网络安全设备及管理程序、加密设备及管理程序的超级管理员账号或有超级管理员权限的账号等)的分配和归档管理工作。

第六条 系统管理员负责相关信息系统普通用户账号的创建、初始化、权限变更、删除、禁止等操作,行使账号管理工作,并对账号的使用者信息、权限、使用期限等进行记录,对账号操作日志等进行审核。信息系统普通用户需根据账号管理办法申请账号,并遵守账号与口令管理使用的规定。

账户开通

统一认证账号是学院为师生和校内单位员工提供的登录学校各应用系统的统一账号,用户可以使用该账号登录其有权限访问的校内应用系统。统一认证账号实行实名制方式管理。原则上学院各系统通过学院数据中心统一账户信息,由学院智慧校园门户实行统一单点登录原则上不单独设置登录网址。

新进教职工账号(原则上为工号)信息由人事部门在人事系统创建并设置由信息技术中心进行数据同步,开通统一认证账号;校内其他用户由各部门根据工作需要通过办事大厅工作流申请开通。新入学的学生账号(原则上为信息由教务部门在教务系统进行创建并设置,由信息技术中心进行数据同步,开通统一认证账号。

(二)账户停用数据管理

根据人事系统人员状态,教工在办理完离校手续1个月后,其统一认证账号将被设置为停用状态,企业微信账号删除销号。各系统的数据原则上保留,无需留存数据经部门负责人同意后可删除。

根据教务系统学生状态,学生毕业离校1个月后,其统一认证账号将被设置为停用状态,企业微信账号删除销号。各系统的数据原则上保留,无需留存数据经部门负责人同意后可删除。

其他用户在办理完离校手续后,企业微信账号删除销号,其统一认证账号将被设置为停用状态,6个月后删除。各系统的数据原则上删除需留存数据经部门负责人同意后可留存

如有其他特殊情况另行讨论处理。

第七条 各系统管理员应当对系统中存在的账号进行定期检查,确保系统中不存在无用或匿名账号,应避免使用系统默认账号,避免系统内部存在共享账号, 禁止在公共公开的网站系统中公布账号密码。

第八条 系统管理员不能共享超级用户账号,应采用组策略控制超级用户的访问。业务管理人员不能共享业务管理账号,应当为每一位业务管理人员分配单独的账号。严格限制创建公共用户账号,且公用账号不得具有访问敏感信息以及“写”和“执行”的系统权限。

第九条 学院各业务部门应定期检查各系统账号的管理情况,内容应包含如下几个方面:

(一)员工离职或账号已经过期,相应的账号在系统中仍然存在;

(二)用户是否被授予了与其工作职责不相符的系统访问权限;

(三)账号使用情况是否和系统管理员备案的用户账号权限情况一致;

(四)是否存在非法账号或者长期未使用账号;

(五)是否存在弱口令账号。

第十条 各系统应具有安全日志功能,能够记录系统账号的登录和访问时间、操作内容、IP地址等信息。符合网络安全法,数据安全法及等保要求。

第十一条 系统在创建账号、变更账号以及撤销账号的过程中,应得到部门负责人的审批后才可实施。


第四章 密码管理

第十二条 系统应该强制指定密码的策略,包括密码的有效期提醒:建议每季度更新一次密码;密码长度:要求最短长度9位以上;密码复杂度:要求最低大小写字母、数字、特殊字符的组合等。

第十三条  账号和密码的存储、传输应采用加密方式。对于自动生成密码的系统,必须确保密码生成算法的可靠性和安全性以及密码生成的随机性。严禁用户向任何人公开其本人或他人的账号信息,特别是拥有管理员权限或超级管理员权限的用户。未经同意,使用人不得将密码告诉他人,如果系统的密码泄漏,必须立即更改。禁止使用空密码、弱口令或与用户名相同的密码作为初始密码。

第十四条  信息系统应保证用户在首次登录时,修改其初始密码。密码在输入系统时,不能在显示屏上明文显示出来。系统关闭所有缺省的匿名账号,所有系统集成商在施工期间设立的缺省密码在系统投入使用之前都必须修改。

第十五条 除了管理员外,普通用户不能改变其他用户的口令。

第十六条 管理员必须设定用户登录尝试的次数限制和超过 失败次数的处置措施。信息系统管理员账号登录尝试次数不大于 3次,信息系统用户账号登录尝试次数不大于5次。一旦在一定时间内使用同一个用户账号的失败登录超过限定次数,该账号应被自动禁用数分钟或由管理员重新激活该用户账号。各类账户登录界面应启用验证码认证机制,避免暴力破解。

第十七条  应严格控制对存有用户账号和密码文件的访问。

第十八条  对于重要的信息系统,应符合相关安全认证要求,如进行双因子认证。


第五章 权限管理

第十九条 各系统应根据“最小授权”的原则设定账户访问权限,控制用户仅能够访问到工作需要的信息,即给用户完成工作的最小权限。

第二十条 从账号管理的角度,应进行基于角色的访问控制权限的设定,即对系统的访问控制权限是以角色或组为单位进行授予。一个用户根据业务需要可以分配多个角色。

第二十一条 各系统应该设置审计用户的权限,审计用户应当具备比较完整的读权限,审计用户应当能够读取系统关键文件,检查系统设置、系统日志等信息。


第六章 附则

第二十二条 本办法由学院网信办制定,并负责解释和修订。

第二十三条 本办法自发布之日起执行。

第二十四条 本办法未尽事宜,依照法律法规和上级文件要求确立的原则处理。