信息安全等级保护制度-信息系统帐号和密码管理规定

信息安全等级保护制度-信息系统帐号和密码管理规定一、总则（一）目的为加强信息系统的信息安全管理，规范信息系统帐号和密码的使用，确保信息系统的安全性、可靠性和稳定性，依据国家相关信息安全法律法规以及信息安全等级保护制度的要求，特制定本规定。（二）适用范围本规定适用于本单位所有使用信息系统的部门、人员以及与信息系统相关的各项活动，包括但不限于信息系统的开发、运营、维护等环节中涉及的帐号和密码管理。（三）引用标准本规定引用了以下国家和行业相关标准：《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》二、帐号管理（一）帐号申请1.申请流程员工因工作需要使用信息系统帐号时，需填写《信息系统帐号申请表》，详细说明申请帐号的信息系统名称、用途、使用期限等内容。申请表需经员工所在部门负责人审核签字，确认申请的合理性和必要性。审核通过后，申请表提交至信息安全管理部门，由信息安全管理部门根据系统权限设置和安全策略进行审批。2.特殊情况处理对于临时需要使用信息系统的外部人员（如合作伙伴、供应商等），由业务对接部门负责填写《外部人员信息系统帐号申请表》，注明外部人员的身份信息、使用目的、使用期限等，并经业务对接部门负责人和信息安全管理部门负责人审批。紧急情况下，可先由信息安全管理部门负责人电话授权开通帐号，但申请人需在24小时内补齐相关申请手续。（二）帐号创建1.创建原则信息安全管理部门根据审批通过的申请表为申请人创建帐号。帐号命名应遵循统一的规则，采用“部门代码+员工姓名拼音首字母”的方式，确保帐号的唯一性和可识别性。对于不同安全级别的信息系统，应根据系统的安全要求和用户的工作职责，为帐号分配相应的权限。权限分配应遵循最小化原则，即只授予用户完成工作所需的最少权限。2.创建流程信息安全管理部门在收到审批通过的申请表后，在2个工作日内完成帐号创建工作。创建完成后，信息安全管理部门应及时将帐号信息（包括帐号名、初始密码等）以安全的方式通知申请人，并告知申请人及时修改初始密码。（三）帐号使用1.使用规范用户必须妥善保管自己的帐号，不得将帐号转借、出租或共享给他人使用。用户应定期登录信息系统，检查帐号的使用情况，如发现异常登录或操作，应及时向信息安全管理部门报告。用户在使用信息系统时，应严格遵守系统的操作规范和安全要求，不得进行违规操作。2.权限变更用户因工作岗位调整或工作职责变化需要变更帐号权限时，需填写《信息系统帐号权限变更申请表》，经所在部门负责人审核、信息安全管理部门审批后，由信息安全管理部门进行权限调整。权限变更应在3个工作日内完成，并及时通知用户。（四）帐号停用与注销1.停用情况用户因休假、出差等原因暂时不需要使用信息系统帐号时，由用户所在部门负责人填写《信息系统帐号停用申请表》，经信息安全管理部门审批后，信息安全管理部门在1个工作日内将帐号停用。停用的帐号在停用期间不得使用，停用期限最长为3个月，超过3个月仍需停用的，应办理帐号注销手续。2.注销情况用户离职、岗位调动不再需要使用原信息系统帐号，或因其他原因不再需要使用帐号时，由用户所在部门负责人填写《信息系统帐号注销申请表》，经信息安全管理部门审批后，信息安全管理部门在1个工作日内将帐号注销。帐号注销前，信息安全管理部门应检查帐号的使用情况，确保帐号内的重要数据已备份或处理完毕。三、密码管理（一）密码设置1.设置要求用户首次登录信息系统后，应立即修改初始密码。密码应包含大写字母、小写字母、数字和特殊字符，长度不少于8位。密码应具有一定的复杂性，避免使用与个人信息（如姓名、生日、电话号码等）相关的简单密码。不同信息系统的密码应尽量不同，避免因一个系统密码泄露导致其他系统安全受到威胁。2.定期更换用户应每90天更换一次密码。信息系统应在密码到期前10天提醒用户更换密码。如发生密码泄露或怀疑密码被他人获取的情况，用户应立即更换密码，并向信息安全管理部门报告。（二）密码存储1.存储方式信息系统应采用加密算法对用户密码进行存储，严禁以明文形式存储密码。密码存储的加密密钥应进行安全管理，由信息安全管理部门专人负责保管。2.备份与恢复信息安全管理部门应定期对密码存储数据进行备份，并将备份数据存储在安全的位置。如发生密码存储数据丢失或损坏的情况，信息安全管理部门应及时使用备份数据进行恢复。（三）密码找回与重置1.找回方式信息系统应提供密码找回功能，用户可通过注册的手机号码、电子邮箱等方式找回密码。用户在找回密码时，需通过系统的身份验证，如输入注册时预留的手机号码验证码、电子邮箱验证码等。2.重置流程如用户无法通过密码找回功能重置密码，可向信息安全管理部门申请密码重置。用户需填写《信息系统密码重置申请表》，经所在部门负责人审核、信息安全管理部门审批后，信息安全管理部门为用户重置密码。重置后的密码为初始密码，用户应及时修改。四、安全审计与监督（一）审计内容1.信息安全管理部门应定期对信息系统帐号和密码的使用情况进行审计，审计内容包括帐号的创建、使用、停用、注销情况，密码的设置、更换情况等。2.审计记录应包括审计时间、审计人员、审计内容、审计结果等信息，审计记录应保存至少2年。（二）监督检查1.信息安全管理部门应不定期对用户的帐号和密码使用情况进行监督检查，检查内容包括帐号是否转借、出租或共享，密码是否符合设置要求等。2.对于违反本规定的行为，信息安全管理部门应及时进行纠正，并根据情节轻重给予相应的处罚。（三）应急处理1.如发现信息系统帐号和密码存在安全漏洞或发生安全事件，信息安全管理部门应立即启动应急预案，采取相应的措施进行处理，如停用帐号、重置密码、加强安全防护等。2.应急处理结束后，信息安全管理部门应及时对事件进行总结分析，提出改进措施，防止类似事件再次发生。五、培训与教育（一）培训计划1.信息安全管理部门应制定年度信息安全培训计划，将帐号和密码管理规定纳入培训内容。2.培训计划应包括培训时间、培训地点、培训对象、培训内容等信息。（二）培训方式1.采用集中授课、在线学习、案例分析等多种方式进行培训，确保员工能够充分理解帐号和密码管理规定的重要性和具体要求。2.对于新入职员工，应在入职培训中进行帐号和密码管理规定的专项培训。（三）培训效果评估1.培训结束后，应通过考试、问卷调查等方式对培训效果进行评估。2.对于培训效果不理想的员工，应进行补考或重新培训，确保员工掌握帐号和密码管理规定的相关知识。六、违规处理（一）违规行为界定1.转借、出租或共享信息系统帐号的行为。2.使用简单密码或未按规定定期更换密码的行为。3.未按规定申请、停用或注销帐号的行为。4.故意泄露帐号和密码信息的行为。（二）处理措施1.对于首次违反本规定的员工，由信息安全管理部门进行警告，并责令其立即改正。2.对于多次违反本规定或情节严重的员工，给予通报批评、扣除绩效奖金等处分；情节特别严重的，解除劳动合同。3.对于外部人员违反本规定的，取消其使用信息系统的资格，并追究相关法律责任。七、附则（一）解释权本规定由信息安