河北外国语学院账号密码管理制度
第一条 为规范学校各类信息系统个人用户、管理用户帐号、密码的管理,防范个人信息、学校业务数据泄露、被篡改、信息系统被破坏等安全事件发生,保障信息系统安全运行,根据网络安全管理相关规定,结合学校实际,制定本制度。
第二条 按照“谁使用,谁负责”的原则,账号使用人负责所申请账号的安全管理。账号使用人应确保所申请帐号、密码的安全,并为使用所申请账号执行的全部操作负责。
第三条 学校校园网关、统一信息门户、电子邮箱等公用信息服务系统、各学院、各单位业务信息系统(网站)所开设的师生个人账号、一般工作人员的管理账号,服务器、业务信息系统、数据库系统的超级管理员账号,适用本管理制度。
第四条 学校各类信息系统的账号管理由系统的主管单位负总责,系统的运维单位具体实施。帐号管理应贯穿帐号申请、开设、授权、权限变更、帐号冻结或注销全过程。
第五条 师生个人帐号一般依本人申请而开设。对在一定范围内全员使用的业务系统,可批量开设个人账号,主管部门须采取有效手段通知到每位用户,确保其明了对相关帐号应承担的安全责任。
第六条 对一般工作人员所使用的管理账号,其设置应与岗位职责相匹配,坚持最小授权原则,严格按需授权。信息系统主管部门应拟定并定期更新账号、权限划分表,明确管理账号使用人,规定操作对象范围、操作权限,并对管理账号的使用情况定期进行检查。
第七条 各业务信息系统必须明确每个帐号责任人,不得开设共享帐号,不得以部门或用户组作为最终责任人。
第八条 服务器、业务信息系统、数据库系统的超级管理员账号须在系统验收投入正式运行后收回,由学校正式教职工保管,不得随意交给临时人员、厂商人员使用。
第九条 在特定任务需要校外人员配合时,可开设临时账号。任务完成后,系统管理员应立即收回临时帐号。
第十条 学校各类信息系统在建设时,应提出对账号认证、授权、操作日志记录的明确要求,并在验收环节重点考察。系统正式运行期间,用户登录、操作日志应留存不少于180天。
第十一条 在帐号申请审批完成并创建后,账号使用人应对密码进行定期修改。因工作交接,管理帐号需要赋予另一个人时,接管人应及时修改密码。
第十二条 一般管理用户、超级管理员密码设置应使用强密码策略。密码长度至少8位,其中需包括数字、小写字母、大写字母、特殊符号4类中至少3类。
第十三条 师生个人账户密码应有一定强度。密码长度至少6位,其中需包括数字、小写字母、大写字母、特殊符号4类中至少2类。
第十四条 师生个人账户密码分发应以点到点方式进行,禁止通过网络批量分发师生个人账户初始密码或在网站上公布初始密码生成规则。
第十五条 有初始账号、密码设置的软件系统与硬件设备,在联网前应修改系统默认密码,并禁用初始的无关账户。
第十六条 网络安全等级保护级别确定为第三级及以上的信息系统,主管部门在系统规划、建设和运行阶段,应按照国家密码应用安全性评估管理办法和相关标准,落实密码安全防护要求,并在网络安全等级测评中同步开展密码应用安全性评估。
第十七条 以下情况下,信息系统管理员应及时注销相应账号:
1.帐号使用者由于岗位职责变动、离职等原因,不再需要原有访问权限时;
2.临时性或阶段性使用的帐号,在工作结束后。
第十八条 以下情况下,信息系统管理员有权先行冻结用户账号,暂时禁止用户访问:
1.帐号使用者违反了信息系统有关操作规定,可能或已经给系统运行安全、数据安全带来危害;
2.有迹象表明用户密码可能已经泄露等。
河北外国语学院
现代化教育技术中心
