《证券有限责任公司信息系统权限及密码管理办法模版.docx》由会员分享,可在线阅读,更多相关《证券有限责任公司信息系统权限及密码管理办法模版.docx(5页珍藏版)》请在金锄头文库上搜索。
1、证券有限责任公司信息系统权限及密码管理办法第一章 总则第一条为了确保公司信息系统安全,规范用户授权及管理,防止信息系统非授权访问,特制订本办法。第二条本管理办法适用于以下用户的权限管理:1.数据库用户;2.应用系统用户;3.操作系统用户,包括服务器、网络设备、安全设备的操作系统等;4域用户、AAA用户。第三条权限管理应遵循最小授权和必须知道原则,且禁止匿名账户存在。最小授权原则指仅让用户能够访问其工作需要的信息,其他信息则不能被该用户访问。必需知道原则指应该让用户有权限访问其工作中需要用到的信息。第四条权限管理应遵循操作权与审批权分离的原则,即权限的审批管理者不得进行具体业务操作。第五条权限管
2、理应遵循业务和技术分离的原则,即禁止技术人员拥有业务操作权限,禁止业务人员拥有技术方面的权限,防范两者结合可能引发的风险。第二章 权限管理要求第六条数据库用户由信息技术部管理,应用系统用户由系统使用部门管理,服务器、网络设备操作系统用户由信息技术部管理,域用户、AAA用户由信息技术部管理。第七条原则上超级管理员用户,由两个或两个以上的人员共同管理。第八条除超级管理员用户外,其他用户应以实名制方式管理,用户账户仅限申请人个人使用。第九条系统使用部门应制定合理的管理流程,对用户及权限的申请、使用、变更、停用进行安全有效的管理。其中数据库、服务器、网络及安全设备、域、AAA等用户及权限申请流程由信息
3、技术部制定,应用系统的管理流程由业务使用部门制定,合规部负责对管理流程进行审核。第十条权限管理部门应对权限申请、变更、停用应有审批及操作记录进行妥善保管,以备审计。第十一条用户管理部门应从安全管理的角度,定期对用户权限进行检查。第十二条信息系统应以不可修改的方式记录用户权限的授权、变更、使用、停用等信息,以备审计。第十三条原则上,载有公司客户信息的应用系统及相关数据库的授权须经合规部、系统使用部门、信息技术部及公司领导审批。第十四条出于数据备份、系统间数据同步的需要,如需要建立数据库用户供应用系统使用,应用系统的使用部门在提交权限申请时,应从安全管理的角度制定完整的管理流程,经信息技术部、合规
4、部审核后,方可授权。第十五条员工离职或工作岗位调整时,须由员工所在部门发起对系统权限进行变更。第三章 密码管理要求第十六条超级管理员用户的密码应由两个或两个以上人员共同掌管;其他用户的密码由用户使用者掌管,不得向其他人透露。第十七条原则上,载有公司客户信息的应用系统及相关数据库的超级用户密码应由合规部及信息技术部分段掌管。第十八条密码禁止以明文方式存放和存储。第十九条密码应至少每三个月更换一次,密码更换由密码掌管者负责。第二十条当用户密码遗失或者遗忘时,用户应向用户管理部门发出申请重置用户密码。第二十一条公司购买密码产品时,必须选用经国家密码管理机构认可的商用密码产品,销售单位必须具有国家密码
5、管理部门出具的销售许可证。第二十二条密码产品发生故障,必须由国家密码管理机构指定的单位维修。报废、销毁商用密码产品,应当向国家密码管理机构备案。第四章 密码设置及使用要求第二十三条密码中必须含有数字(0-9)、字母(a-Z)和符号(!#$%&*-+=)三种字符。第二十四条超级管理员用户密码不得少于12位,其他用户密码不得少于6位。第二十五条如果系统提供强制设置强度密码机制,必须开启,如系统有自身密码强度,但不满足上述设置要求,以系统密码机制为基准进行设置。第二十六条在使用密码时,必须遵循以下安全操作规程:(一)按规定定期修改密码;(二)一旦发现密码被侵害的现象,立即更换密码;(三)避免使用个人
6、相关信息来设置密码,如名字、生日、电话号码、手机号码、车牌号码等;(四)避免使用连续相同的数字或字符;(五)禁止将密码保留在自动登录过程中;(六)禁止将密码记录在非经特别保护的纸面上;(七)禁止将密码记录在未经加密存储在电子介质上;(八)禁止将密码共享给他人;(九)禁止将密码以明文方式在互联网上传输;第二十七条超级用户密码设置与保管、使用与应急规定:(一)设置与保管1.密码设置时,前后段密码管理双方应共同在场,将密码的两部分分别封存在两个信封内,并在封口处加盖部门印章或签字,且妥善保管;2.如遇密码重新分配,需由前后段密码管理双方在场,共同销毁原封存的密码。(二)使用与应急1.因工作需要,通过前台软件或一般手段无法满足业务需求的情况下,必须关键用户操作时,须提交审批流程,经批准后方可使用;2.关键用户使用流程须经业务系统使用部门、合规部、信息技术部及公司领导审批后,由操作执行人执行;3.在使用关键用户密码时,密码分段掌管人应同时到场,输入各自掌管的半段密码,并监督操作执行人完成相关操作;4.操作执行人应对操作进行签字确认;5.遇紧急情况需要使用封存的特殊密码,需双方人员共同开启封存密码,并在开启后,重新生成特殊密码,并按照保管流程重新分别保管。第五章 附则第二十八条本管理办法由信息技术部制定并负责解释和修订。第二十九条本管理办法自发布之日起执行。
