第一章 总则

第一条 为规范校园网络、信息系统、数据库系统、网络设备账号口令管理，保障系统安全运行，防范系统数据泄露、篡改等风险，根据学校网络安全相关规定，结合工作实际，制定本制度。

第二条 按照“谁使用，谁负责”原则，账号申请单位负责所申请账号的账号管理，需按照账号审批流程申请所需账号、修改权限或者撤销账号。在账号审批成功并创建后，应对账号口令进行定期修改。账号申请人应严格保护账号口令安全，防止泄露，否则需承担由此导致安全问题的责任。

第二章 账号管理

第三条 账号管理贯穿帐号创建、授权、权限变更及账号撤销或者冻结全过程；

第四条 账号权限设置应与岗位职责相一致；

第五条 严格按需授权，根据需求，按操作权限、操作范围进行授权，避免超出工作职责的过度授权；

第六条 各系统不允许存在其它共享账号，必须明确每个账号责任人，不得以部门或用户组作为最终责任人；

第七条 对于临时授权的任务，在完成特定任务后，系统管理员应立即收回临时账号。

第三章 口令管理

第八条 为确保安全性，口令（或密码）至少应包括数字、小写字母、大写字母、特殊符号4类中至少3类；

第九条 口令（或密码）应与用户名无相关性，口令中不得包含用户名的完整字符串；

第十条 应更换系统或设备的出厂默认口令；

第十一条 口令（或密码）设置应避免键盘排序密码。

第十二条 口令（或密码）至少每30天更换一次，机密级信息的口令（或密码）更换周期不得长于7天；绝密级信息不得上网。

第十三条 由于员工离职等原因，原账号不能删除或者需要重新赋予另一个人时，应修改相应账号的口令。

第四章 其他事项

第十四条 账号使用者由于岗位职责变动、离职等原因，不再需要原有访问权限时，应立即撤销账号或更改账号口令，并做好记录。

第十五条 临时性或阶段性使用的账号，在工作结束后，应立即撤销账号或更改账号口令，并做好记录。

第十六条 账号使用者违反了有关口令管理规定，应立即撤销账号或更改账号口令，并做好记录。

第十七条 有迹象表明口令可能已经泄露，应立即撤销账号或更改账号口令，并做好记录。