第一章 总则
第一条 为规范校园网络、信息系统、数据库系统、网络设备帐号口令管理,保障系统安全运行,防范系统数据泄露、篡改等风险,根据学校网络安全相关规定,结合工作实际,制定本制度。
第二条 按照“谁使用,谁负责”原则,账号申请单位负责所申请账号的账号管理,需按照帐号审批流程申请所需帐号、修改权限或者撤销帐号。在帐号审批成功并创建后,应对帐号口令进行定期修改。账号申请人应严格保护帐号口令安全,防止泄露,否则需承担由此导致安全问题的责任。
第二章 帐号管理
第三条 帐号管理贯穿帐号创建、授权、权限变更及帐号撤销或者冻结全过程;
第四条 帐号权限设置应与岗位职责相一致;
第五条 严格按需授权,根据需求,按操作权限、操作范围进行授权,避免超出工作职责的过度授权;
第六条 各系统不允许存在其它共享帐号,必须明确每个帐号责任人,不得以部门或用户组作为最终责任人;
第七条 对于临时授权的任务,在完成特定任务后,系统管理员应立即收回临时帐号。
第三章 口令管理
第八条 为确保安全性,口令(或密码)至少应包括数字、小写字母、大写字母、特殊符号4类中至少3类;
第九条 口令(或密码)应与用户名无相关性,口令中不得包含用户名的完整字符串;
第十条 应更换系统或设备的出厂默认口令;
第十一条 口令(或密码)设置应避免键盘排序密码。
第十二条 口令(或密码)至少每30天更换一次,机密级信息的口令(或密码)更换周期不得长于7天;绝密级信息不得上网。
第十三条 由于员工离职等原因,原帐号不能删除或者需要重新赋予另一个人时,应修改相应帐号的口令。
第四章 其他事项
第十四条 帐号使用者由于岗位职责变动、离职等原因,不再需要原有访问权限时,应立即撤销帐号或更改帐号口令,并做好记录。
第十五条 临时性或阶段性使用的帐号,在工作结束后,应立即撤销帐号或更改帐号口令,并做好记录。
第十六条 帐号使用者违反了有关口令管理规定,应立即撤销帐号或更改帐号口令,并做好记录。
第十七条 有迹象表明口令可能已经泄露,应立即撤销帐号或更改帐号口令,并做好记录。