《06.公司信息系统密码管理细则.pdf》由会员分享,可在线阅读,更多相关《06.公司信息系统密码管理细则.pdf(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-1-XX 公司 信息系统密码管理细则 第一章 总则 第一条 为了规范管理公司信息化各系统用户安全使用行为,保障公司运输生产管理信息系统的可靠运行,依据公司信息化管理办法和相关行业管理规定,特制定信息系统密码管理细则。第二条 该细则制定公司信息系统的各级密码管理规则。第三条 VPN:虚拟专用网络(Virtual Private Network,简称VPN)指的是在公用网络上建立访问公司内网的技术通道。第四条 公司信息系统密码管理属于企业商业秘密管理范围,公司对密码的使用实行专控管理,公司信息系统任何用户(单位和个人)未经批准,不得擅自泄露和公开公司信息系统密码,对于玩忽职守、有意无意造成企业泄
2、密的用户,承担行政处分,构成犯罪的,依法追究刑事责任。第五条 公司内所有系统用户均执行密码管理规则,该细则适用于公司管理内的网络设备、服务器应用系统、数据库、远程访问VPN、终端电脑等信息化密码管理。第六条 不同管理权限的管理员要有互不相同的账号和密码,密码长度不得少于8个字符,要求大小写字母和数字或特殊字符组合,用户名和密码禁止相同。第二章 组织与职责 第七条 公司密码管理分界:实行公司、分公司、专业、用户(个人)4级密码管理。-2-(一)公司负责制定密码规则,监督审核密码的设置和修改,负责涉 密系统(办公、档案)的密码的设置、修改、管理。(二)分公司(网管中心)负责核心设备、网络设备、远程
3、访问 VPN 密码的设置、修改、管理。(三)各应用系统由各系统专业信息管理人员负责密码的设置、修改、管理。(四)用户(个人)负责用户终端密码的设置、修改、管理。第三章 密码管理 第八条 公司核心设备与网络设备(含安全防护系统)密码管理(一)服务器和网络设备由肃宁分公司负责账号、密码的设置、修改、管理。(二)服务器系统管理员用户(administrator、root)不得用于其 他用途,对于有数据交换、远程访问需求的应单独创建相应权限用户,报于信息管理部通过审核后方可建立。系统目录应属系统管理员所有,完全禁止其他用户有写的权限。(三)密码修改时必须 2 人同时在场设定,确保修改密码准确无误。(四
4、)系统正式上线运行后,网络设备与服务器操作系统应删除测试 账号,修改系统管理员用户的密码,禁止开发人员掌握系统管理员密码。第九条 应用系统与数据库密码管理(一)数据库由肃宁分公司网管中心负责账号和密码的设置、修改、管理。(二)各应用系统应实行权限分散原则,明确系统管理员、分公司系 统管理员、操作人员等的权限和操作范围,原则上系统管理员由肃宁分公-3-司(网管中心)负责管理,对于涉密系统由公司专业部门负责。(三)肃宁分公司应派专人负责数据库管理员(DBA)的账号和密 码,系统上线后,应删除数据库和应用系统中的测试账号,数据交换等其他需求账号应单独建立。(四)软件开发商在开发应用上,应保证密码不以
5、明文形式存在数据 库、配置文件或注册表中。(五)应用系统升级或修改时需要临时授权,维护厂商应提出申请,公司信息管理部批复后,以通知单形式通知网管中心建立临时用户,维护结束后,必须立即删除用户。第十条 VPN 远程维护账号管理(一)安全系统中 VPN 远程维护账号和密码由肃宁分公司网管中心 负责。(二)远程维护账号需提报公司信息管理部,通过审核后建立相关管 理系统 VPN 账号,维护结束后及时删除,并记录相应台账。(三)对于影响运输生产系统的紧急维护需求,肃宁分公司(网管中心)电话报于信息管理部,得到许可后可建立维护账号,报于信息管理部,记录相应台账。第十一条 密码更新 核心设备、网络设备系统管
6、理员密码定期每季度更换一次,由肃宁分 公司打印纸质文件报于公司(信息管理部)通过审核后修改,保留历史记录。第十二条 公司建立密码安全监控系统(一)公司建立应用软件监控平台,实行安全密码控制管理。(二)通过远程方式登陆或维护,必须通过公司专用 VPN 系统进入-4-公司网络。(三)根据信息系统保密要求,确定使用人员的权限、方式和审批手 续。第十三条 用户密码管理(一)用户密码由用户(个人)自身设定。(二)用户应自己定期更换密码,做好保密和维护工作。(三)当用户更换或忘记密码要求查询密码,需邮件申请,由系统管 理员履行规定的手续核实后告知。第十四条 账号密码的废止(一)用户因职位变动,不再使用原有
7、信息资源,需更换有关密码,注销其专用账号。(二)涉及密码管理人员因职位变动或者调离时,应确认本系统不会 造成危害后方可调离,调离后应立即更改涉及密码。第十五条 公司、分公司不定期抽测、监督、检查,对发生违反密码管理细则的事件,纳入考核。第四章 附 则 第十六条 本细则自发布之日起实施。第十七条 本细则公司信息管理部制定并负责解释。附件:1.公司密码台账(服务器)2.公司密码台账(网络设备)3.公司密码台账(数据库和应用系统)4.公司密码台账(VPN 远程申请审计)5 附件 1 公司密码台账(服务器)序号 系统名称 设备型号 IP 地址 用户名 旧密码 新密码 设备位置 修改日期 备注 1 2
8、3 4 5 6 7 8 9 10 11 12 13 14 15 16 注:对于系统中存在多个用户,应每个用户建立一条记录,并在备注中表明用户的用途和类型 网管中心:分公司:信息管理部审核人:6 附件 2 公司密码台账(网络设备)序号 系统名称 设备型号 管理地址 用户名 旧密码 新密码 旧 Enable 密码 新 Enable 密码 系统位置 修改日期 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 网管中心:分公司:信息管理部:7 附件 3 公司密码台账(数据库和应用系统)序号 系统名称 地址 登录方式 用户名 旧密码 新密码 系统位置 修改日期 备注 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 注:对于系统中存在多个用户,应每个用户建立一条记录,并在备注中表明用户的用途和类型 网管中心:分公司:信息管理部:8 附件 4 公司密码台账(VPN 远程申请审计)序号 系统名称 姓名 单位 事宜 审核状态 申请时间 审批时间 结束时间 销记时间 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 网管中心:分公司:信息管理部:9