账户信ۥ息保护内控管理制度

《账户信ۥ息保护内控管理制度》由会员分享，可在线阅读，更多相关《账户信ۥ息保护内控管理制度（6页珍藏版）》请在金锄头文库上搜索。

1、账户信息保护内控治理制度 篇一：内部操纵-信息系统用户治理制度 信息系统账号治理制度 第一条 第二条 第三条 第四条 第五条 第六条 第七条 第八条 第九条 第十条 第十一条第一节 总 那么 为加强用户账号治理，标准用户账号的使用，提高用户账号的平安性，特制定本制度。 本制度中系统账号是指应用层面及系统层面（操作系统、数据库、防火墙及其它网络设备）的用户账号。 本规定所指账号治理包括： 1、应用层面用户账号的申请、审批、分配、删除/禁用等的治理。 2、系统层面用户账号的申请、审批、分配、删除/禁用等的治理 3、用户账号密码的治理。 系统拥有部门负责建立岗位权限对照表（附件一），制定工作岗位与系

2、统权限的对应关系和互斥原那么，对详细岗位做出详细的权限治理规定。 信息技术部依照系统拥有部门提交的岗位权限对照表增加系统中进展必要有效的逻辑操纵。 用户账号申请、审批及设置由不同人员负责。 第二节 一般账号治理 申请人使用统一而标准的账号/权限申请表（附件二）提出用户账号创立、修正、删除/禁用等申请。 账号申请人所属部门负责人及系统拥有部门负责人依照岗位权限对照表审核申请人所申请的权限是否与其岗位一致，确保权限分配的合理性、必要性和符合职责分工的要求。 在受理申请时，权限治理人员依照申请配置权限，在系统条件具备的情况下，给用户分配独有的用户账号或禁用用户账号权限，以使用户对其行为负责。一旦分配

3、好账号，用户不得使用别人账号或者同意别人使用本人的账号。 新员工入职或员工岗位发生变化时，应主动申请所需系统的账号及权限。 人员离任的情况下，该员工的账户应当被及时的禁用。离任人员的离任手续办 第十二条 第十三条 第十四条 第十五条 第十六条 第十七条 第十八条 第十九条 第二十条 第二十一条理完毕后，人力资源部需通过邮件或书面的方式通知员工所属部门主管负责该员工权限收回的工作。员工所属部门主管依照该用户的岗位申请删除离任人员账号及权限。 账号治理人员建立各种账号的文档记录，记录用户账号的相关信息，并在账号变动时同时更新此记录。 第三节 特权账号和超级用户账号治理 特权账号指在系统中有专用权限

4、的账号，如备份账号、权限治理账号、系统维护账号等。超级用户账号指系统中最高权限账号，如administrator（或admin）、root等治理员账号。 只有经受权的用户才可使用特权账号和超级用户账号，严禁共享账号。 信息技术部每季度查看系统日志，监视特权账号和超级用户账号使用情况，并填写系统日志批阅表（附件三）。 尽量防止特权账号和超级用户账号的临时使用，确需使用时必须履行正规的申请及审批流程，并保存相应的文档。 临时使用超级用户账号必须有监视人员在场记录其工作内容。 超级用户账号临时使用完毕后，账号治理人员立即更改账号密码。 第四节 用户账号及权限批阅 系统拥有部门指定专人负责每季度对系统

5、应用层面账号及权限进展批阅，并填写账号/权限清理清单（附件四）。 信息技术部指定专人负责每季度对系统层面账号及权限进展批阅，并填写账号/权限清理清单。 员工离任后，账号治理人员及时禁用或删除离任人员所使用的账号。假如离任 人员是系统治理员，那么及时更改特权账号或超级用户口令。 第五节 用户账号口令治理 第二十二条 用户账号口令发放要严格保密，用户必须及时更改初始口令。 第二十三条 用户账号口令最小长度为6位，并具有一定复杂度。 第二十四条 用户账号口令必须严格保密，并定期进展更改，密码更新周期不得超过90天。 第二十五条 严禁共享个人用户账号口令。 第二十六条 超级用户账号需通过保密方式由信息

6、技术部负责人留存一份。 第二十七条第二十八条第六节 附那么 本制度由公司总部信息技术部负责解释和修订。 本制度自发布之日起开场执行。 附件一. 岗位权限对照表 编号： 附件二. 账号/权限申请表 申请表编号： 篇二：内部操纵-信息系统维护治理制度信息系统维护治理细那么 1 目的 为了保障信息系统平安、平稳运转，确保数据平安，依照相关法律法规和公司内部操纵手册，制定本细那么。 2 适用范围与定义 本细那么适用于信息治理部门及相关部门施行信息维护相关事项。 本细那么所称信息系统维护包括日常运转维护、系统变更、平安治理等方面。 3 援用标准及关联制度 3.1 企业内部操纵根本标准 3.2 企业内部操

7、纵应用指引第18号信息系统 3.3 ABC公司内部操纵手册2012 4 职责 4.1 信息治理部门负责信息系统的运转维护治理。 4.2 信息系统使用部门负责系统的使用，用户治理。 5 内容、要求与程序 5.1 系统日常运转维护 5.1.1 公司信息系统的维护归口统一由信息治理部负责治理。 5.1.2 系统使用部门（单位）负责业务流程、业务工作标准、数据维护、用户治理、数据使用平安、知识产权合法性使用及相关制度的制定和落实等工作，对有关数据的日常更新等作运转操作记录；对关键用户与一般用户进展培训和培训考核，培训记录和考核成绩提交人力资源部备案。 5.1.3 信息治理部负责日常软硬件系统维护、设备

8、保养、毛病的诊断与排除、易耗品的更换与安装、网络平安、环境保持、应急处理等工作，保证信息系统平安、稳定运转，并做应急事故处理记录和运转维护记录。应急事故处理记录和运转维护记录由信息治理部门经理签字。需委托进展维护的信息系统，由信息治理部门审查系统效劳商资质，并签订系统维护效劳合同；由信息治理部自行维护的，应指定专人负责维护，制定岗位职责。 5.2 系统变更 5.2.1 系统如在使用中有变更要求，可向总经理办公室提出书面要求并填写系统变更表，由申请部门分管副总签字后，交信息治理部统一安排进展。变更完成后由申请部门相关人员签字确认。信息系统操作人员不得擅自进展软件的删除、修正等操作；不得擅自晋级、

9、改变软件版本；不得擅自改变软件系统的环境配置。 5.2.2 信息治理部门应利用技术手段防止员工擅自安装、卸载软件或者改变软件系统配置，并定期进展检查。 5.2.3 系统使用部门（单位）会同信息治理部按照业务需求，对业务流程与系统功能进展评价，需要严重改良的，提出系统晋级，由公司分管业务副总经理签字确认，报财务总监审核，由信息化领导小组审批。 5.2.4 系统使用部门（单位）会同信息治理部组织系统晋级的施行和验收。（系统晋级施行的详细流程参见信息系统外购治理细那么5.6、5.7） 5.2.5 操作系统、数据库系统用户的新增、变更，须填写系统用户申请表，经信息治理部审批后，被给予唯一的用户名、用户

10、ID（UID），方可进入公司信息系统进展电脑使用。信息治理部门经理至少每季度审核一次系统用户记录表。 5.3 信息系统数据平安治理 由信息治理部负责信息系统数据的平安治理，包括日常备份、恢复和数据平安工作（详见备份制度）。 5.3.1 数据保密性治理 重要数据的处理过程中，被批准使用数据人员以外的其它人员不应进入机房工作；处理完毕后，应去除不能带走的本作业数据；妥善处理打印结果，任何记有重要信息的废弃物在处理前应进展粉碎。未经同意，不准将机房设备、维护用品、软盘、材料等私自带出机房，如有特别情况，需经负责人同意并进展登记后方可带出。5.3.2 数据备份治理 每日进展系统数据库自动备份并做完好性

11、查验，每周一次手动备份到挪动硬盘或其他电脑的硬盘，每两周一次由专人将挪动硬盘送往银行保管箱予以存放，并填写数据备份记录表，由负责系统维护人员及信息治理部门经理签字，每年进展一次备份的恢复性测试，并填写数据恢复性测试记录表，由信息治理部门经理签字。 5.4 操作系统登录的平安治理 信息治理部负责各业务系统后台操作系统登录的平安治理。 5.4.1 系统登录名与密码平安治理 各系统责任人负责保管系统的登录名和密码，密码的设置要符合强密码标准和密码复杂性要求，并将它们密存在信封中，信封由专人保管，各系统负责人每季度更换一次登录名和密码，并填写密码保存登记表。特别情况需拆信封时，必须由信息治理部门经理在

12、密码保存登记表签字后方可，拆封后，系统责任人要重新修正密码，密存在信封中。 5.4.2 用户登录名与密码的治理 用户名和密码的组合定义了系统中用户的身份，用户和密码组合由系统治理员进展治理，不设置多人共用的账号，当一个工作人员离开岗位后，其账号应被及时删除。为防止非法用户使用信息网络资源，对访咨询用户的合法性进展鉴别，当不成功鉴别尝试次数到达门限值时，系统将回绝该用户的访咨询，加以记录并自动告警。对用户访咨询操纵的标准应遵照： （1）所有的用户都要通过受权； （2）用户有在本人的环境里设置对象特权的权力； （3）禁止用户删除在共享目录下其它用户的文件； （4）能够通过制定的策略操纵用户关于系统

13、中所有对象的访咨询； （5）用户不能检查授予其它用户的访咨询操纵权限； （6）要能够提供强迫性的访咨询操纵 5.4.3 不相容岗位别离操纵 信息系统开发人员不得操作使用信息系统，系统治理与维护人员不得操作使用信息系统。 5.5 系统维护及机房治理（机房治理制度） 5.5.1 外来人员对硬件系统维护时，须填写外来人员进入机房审批表，经信息治理部门经理签字批准后方可；当外来人员对软件系统进展维护时，须填写应用软件维护表，经系统使用部门（单位）负责人和信息治理部门经理签字批准后方可。 5.5.2 机房所有工作人员须经信息治理部门经理受权并凭门禁卡进出机房，外来人员进入机房统一由信息治理部专人陪同，陪

14、同人员全面负责外来人员的行为平安，并做好平安防备工作。进出机房工作人员的受权定期（季度）由信息治理部门经理进展复核并做记录。 5.5.3 机房治理人员应熟知机房内设备的根本平安操作规程。不定期对运转设备进展测试和保养，由专人负责机房内设备的保养和备品、配件、材料、盘片等的保管，并登记造册，保证备用设备完好，可供随时投入使用。机房设备损坏应立即投入备用设备，并汇报领导，及时联络修复，做好检修记录。机房工作人员应学习常规的用电平安操作和知识，理解机房内部的供电、用电设备的操作规程。在外部供电系统停电时，机房工作人员应做好停电应急工作。 5.5.4 机房工作人员应熟悉机房内部消防平安操作和规那么，理

15、解消防设备操作原理、掌握消防应急处理步骤、措施和要领。不定期进展消防演习、消防常识培训、消防设备使用培训。如发觉消防平安隐患，应即时采取措施处理，不能处理的应及时向相关负责人员提出处理。 5.5.5 防网络攻击和防病毒治理由信息治理部统一治理 5.5.1 网络运转维护人员在发觉可疑网络攻击和入侵迹象时，必须尽快处理并记录，在必要时请示主管部门领导，组织技术力量进展处理： （1）分析推断：对可疑攻击和入侵行为进展必要的观察与分析，以判别是否属于共计或入侵行为。 （2）入侵或攻击的中止：通过分析，在必要时，应立即断开网络连接，将遭受攻击的网段隔离出来。采取有效措施，终止对系统的破坏行为。 （3）记录和备份：记录发觉网络入侵或攻击的当前时间，备份系统日志以及其它网络平安相关的重要文件，保存内存中的进程列表和网络连接状态，同时