信息系统用户管理制度

1、信息系统用户管理制度第一章 范围和职责第一条 本制度适用于信息系统用户的管理，包括：岗 位配置原则、人员录用和调（离）岗、授权管理、安全培训 教育、第三方人员管理。第二条 某某单位办公室（以下简称：办公室）负责信 息系统用户管理制度的制定和修订。第二章 岗位配置原则第三条 根据信息系统职能要求，结合信息部门实际情 况进行人员配备，权限、职能不同的角色必须分离，避免权 责不清、责任不明确的现象发生。其中，系统管理员不能兼 任安全审计员。第四条 重要岗位实施角色备份制度，在合理设置工作 岗位、完善工作职责的基础上，在相近岗位之间，实行顶岗 或互为备岗制，以便能和时处理紧急任务。第五条 各岗位工作人

2、员安排为确保信息安全工作的顺利开展，保障信息系统的正常 运行，须设置安全管理员、系统管理员、网络管理员、机房管理员、安全审计员和信息审查员并明确其工作职责第三章人员录用和调离第六条 相关信息安全职责在岗位说明书中予以明确， 各部门负责人根据已批准的岗位说明书和部门人员配置要 求，填写相关申请，统一招调。第七条 所有信息系统相关岗位均要签署保密协议，关 键岗位人员必须从内部人员中选拔。第八条 对被录用人的身份、背景、专业资格和资质等 进行审查，当人员处理涉密信息或涉和高敏感性的信息或担 负重要岗位时，应进行更严格的政审。第九条 人员调离时必须更换或归还之前发放的身份证 件、钥匙、单位提供的软硬件

3、设备和文档资料等资产，并办 理详尽的交接手续。第十条 人员调离时必须终止其所有的访问权限，涉和 相关信息系统账号、口令时，先采取更换密码或冻结账号的 措施，避免直接删除账号。第十一条 人员调（离）岗时必须签署保密承诺书，承 诺在调（离）岗后根据保密承诺书的内容履行相关的保密责 任和义务，涉密人员实行脱密期管理制度。第十二条 对未办理正常交接手续离岗的人员，和时进 行信息安全风险评估并由专人跟进处理，保证信息系统的安 全和业务连续性。第十三条 建立完善的奖惩机制，对违反信息安全策略 或规定的人员，给予正式纪律处理，对信息安全工作表现突 优异的人员，给予适当激励。第十四条 与上级信息安全管理部门、

4、信息系统服务商 和宽带提供商（如电信、网通等）保持适当联系，确保在发 生信息安全事故和查处危害内部信息安全的违法犯罪行为 时能够得到和时响应和必要帮助。第四章授权管理第十五条 权限的分级应遵循以下原则。1符合业务安全需求；2. 遵循最小权限原则；3. 系统管理员分配超级权限，一般用户则分配普通权 限；第十六条 所有账号注册都必须通过申请才能开放。申 请人提出权限申请，提交用户权限审批和修改表给办公 室审批，审批同意后才能开通相应的权限。每个用户必须被 分配唯一的账号，账号名不能透露用户的权限信息，不允许 共享账号。第十七条 所有系统都应该建立应急账号，应急账号数据必须放在密封的信封内妥善收藏，

5、并控制好信封的存取。 在使用后必须立刻修改，然后把新的密码装到信封里。第十八条 人员调职、离职时，亦需提交用户权限审 批和修改表办公室审批，该员工的所有账号必须在最后上 班日之前注销或修改。当注销账号时，必须确保已取消其相 关的系统权限。第五章 安全培训教育第十九条 各岗位人员必须清楚自己的安全职责，了解 各自的工作职能范围和责任义务。第二十条 制定安全教育和培训计划、记录培训具体内 容和培训结果以和参加培训人员，在培训结束后把培训相关 记录材料整理归档。第二十一条 根据各个岗位的业务应用、安全意识和保 密意识需求制定培训计划，定期组织安全教育和培训。第二十二条 各岗位人员要积极参与单位组织的

6、内、外 部信息安全交流和培训，提升信息安全意识和专业水平。第二十三条 定期对各岗位人员进行安全理论知识和安 全技能水平的考察。第六章第三方人员管理第二十四条 为加强与信息安全公司、产品供应商、业 界专家、安全组织的沟通与合作或应急响应，应建立详细的 外联单位联系表（内容至少包括外联单位的名称、联系人、 地址、联系方式等） 。第二十五条 第三方人员对敏感信息资产进行访问前， 必须签订正式的合同和保密协议；在合同和保密协议中明确 第三方人员的安全责任、必须遵守的安全要求以和违反要求 的处罚等条款，对其允许访问的区域、系统、设备、信息等 内容应有明确的规定。第二十六条 需要访问信息系统的第三方人员必须得到 有关部门和领导的许可、授权，其访问权限必须得到严格的 限制。第三方人员使用的工具需经过相关部门的安全检查。第二十七条 与第三方人员共同协定现场工作规范并按 照既定规范实施管理、落实运维人员或终端责任人全程陪同 的策略以降低风险。第三十八 在第三方人员进行远程访问之前，要严格鉴 定访问者的身份，确保访问者为已授权人员。第二十九条 负责第三方人员接待和管理的部门在第三 方人员访问结束之后，要和时收回相关物品、资料并且终止 其访问权限。第三十条 负责接待第三方人员的工作人员须有相应信 息安全教育培训经验，并且具备良好的安全意识和风险识别