文档介绍：继续(网络)教育学院信息系统账户与权限管理办法(内部文号:JS-A004)第一章总则第一条为保障我院信息安全,规范系统账户与权限的管理制度,特制定本办法。第二条本办法适用如下信息系统:我院自行建设的的各型信息系统。购买、定制开发,且部署于本地的信息系统。如云桌面、阅卷服务、NAS等。购买的基于账户密码控制的信息服务。如云服务管理、CDN管理、域名管理、短信群发等。教育主管部门分配的各类信息系统。如统考管理、学信网、阳光平台等。重要设备控制系统。如防火墙、交换机、路由器、VM虚拟化系统等。第二章信息系统的账户管理第三条账户设置须遵循“实名登记、一人一户”原则。公用账户(含设备超级账户、第三方系统分配账户)须登记使用负责人及联系方式。第四条自建信息系统中(含购买、定制开发),账户设置须作为项目建设的强制性技术标准。账户信息至少需包含系统ID(不允许变更)、登录用户名、密码、姓名、手机、备注。第五条账户设置原则上由系统管理员负责。账户申请人在《用户账号申请表》上填写基本情况,提交本部门负责人签字确认。系统管理员按签字确认的《用户账号申请表》设立账户,将创建的用户名、密码告知申请人本人,并要求申请人及时变更初始密码。第六条《用户账号申请表》由系统管理员负责存档。第七条用户因工作岗位调动、离职等原因导致需要停用其分配账号时,应填写《用户账号停用登记表》,由系统管理员停用其账户,并对其权限进行注销。第三章信息系统的密码管理第八条自建信息系统中(含购买、定制开发),不得使用明文存储账户密码。该条款须作为项目建设的强制性技术标准。第九条密码强度须遵循以下标准,且在系统中具备密码强度校验检测功能。该条款须作为项目建设的强制性技术标准。密码长度不低于6位。密码至少需要阿拉伯数字与英文字母的组合,不能为纯数字或纯字母。重要系统至少要求阿拉伯数字+大写字母+小写字母+特殊符号的组合。密码不得与账户相同,不得与手机号码相同。第十条修改密码时,须核验操作账户真实性。该条款须作为项目建设的强制性技术标准。第十一条新设立账户须及时变更初始密码;重要账户应定时更换密码。第十二条用户须严格管理自己用户名和密码,遵守保密性原则,除获得授权或另有规定外,不能将密码信息向任何第三方人员(含内部职工)泄露或公开。第四章信息系统的权限管理第十三条信息系统角色、权限的划分和制定,以学院公示的各部门职能定位及各人员岗位职责为基本依据。第十四条自建信息系统中(含购买、定制开发),权限模型遵循应国家/国际标准规范,原则上不得使用设立超级管理员。该条款须作为项目建设的强制性技术标准。第十五条原则上用户权限不下放到个人,只分配到用户角色、用户组。权限调整通过组成员调整完成,需填写《组成员变更登记表》。第十六条如因特殊情况或工作需要,需变更组权限,需填写《用户组权限变更登记表》并交由学院主要领导审批。第五章审计与应急管理第十七条系统审计员定期对系统账户、权限进行审计,并应定期向学院领导进行汇报。第十八条用户发现账户信息泄露、账户异常登录时,应立即通知系统管理员。系统管理员在查明情况前,应暂停该用户的使用权限,并同时对该账户所报数据进行核查,待确认没有造成对报告数据的破坏后,通过修改密码,恢复该账户的报告权限,同时保留书面情况记录。西南财经大学继续(网络)教育学院附件1:《用户账号申请表》附件2:《用户账号注销