第1章 概述

第1条  为规范九州注册信息系统账号口令管理，保障系统安全运行，按照“谁主管，谁负责”、“谁使用、谁负责”、所有账号均应落实责任人的原则制定本办法。

第2条  适用客体范围：适用于九州注册各部门所辖范围内的主机设备、网络设备、安全设备、数据库以及系统软件、应用软件等。

第3条  适用主体范围：适用于九州注册各部门及下属单位、合作厂商。（各业务系统自身已有管理细则的情况下，参照原有细则执行）

第2章 组织与责任

第4条  由各系统维护部门负责运维管理层面账号管理、应用维护部门负责应用层面账号管理。

第5条  各系统维护部门主管领导负责系统账号审批及授权管理，推动制定账号审批流程、表格模版等并落实责任人，监督落实账号申请表、用户账号登记表的维护管理。

第6条  各系统维护部门主管领导负责建立系统账号审批、创建及删除、权限管理以及口令管理要求执行情况审核机制，接受上级或者职能管理部门的定期审核。同时，应根据本单位部门设置、分工及维护模式等具体情况，明确指定审核责任人。

第7条  系统用户需按照账号审批流程申请所需账号账号、修改权限或者撤销账号。在账号审批成功并创建后，应按照本办法要求对账号口令进行定期修改。系统用户应严格保护账号口令，不得故意泄露，否则需承担由此导致安全问题的责任。

第3章 用户管理

第8条  第三方公司人员为向九州注册提供系统维护、调测、技术支持服务，需要使用系统账号时，第三方公司应首先与九州注册签订保密协议。保密协议应明确对第三方人员及归属单位提出执行本办法的相关要求。

第4章 账号权限管理

第9条  账号管理原则：

1. 账号管理贯穿账号创建、授权、权限变更及账号撤销或者冻结全过程；

2. 账号设置应与岗位职责相容；

3. 坚持最小授权原则，避免超出工作职责的过度授权；

4. 应制定严格的审批和授权流程，规范账号申请、修改、删除等工作，授权审批记录应编号、留档（相关流程图、审批表格式参见附件）；

5. 账号创建、调整和删除申请审批通过后，应及时更新系统中的账号状态，确保与审批结论保持一致；

6. 原则上，除低权限的查询账号外，各系统不允许存在其它共享账号，必须明确每个账号责任人，不得以部门或用户组作为最终责任人。

7. 在完成特定任务后，系统管理员应立即收回临时账号。

第10条  账号创建、变更、删除审批流程：

1. 超级账号由主管领导以授权的方式授予具体的系统管理员，授权书至少应包括系统名称、超级账号名、授予人姓名、职责描述、有效期等；

2. 所有账号，包括系统管理员账号、普通账号、程序账号的责任人，应按规定的申请表的格式要求提出申请，申请表至少包含申请人姓名、联系方式、申请人职责描述、申请时间、申请目的、申请账号所属系统名称、账号类型、创建或者变更或者删除操作类型、账号权限描述、主管领导审批意见、系统管理员变更操作记录及签字确认、权责描述备注栏目等；

3. 主管领导进行审批，重点检查所申请权限与申请人职责的一致性；

4. 系统管理员负责创建、变更或者删除账号，保留审批表格、并备案。

第11条  如因系统能力或者管理原因无法按用户创建账号时，应采取如下管理措施：

1. 明确共享账号责任人，责任人负责按照上述流程要求提出共享账号审批表，并在审批表中注明该共享账号的所有用户名单；

2. 限制共享账号的使用人数，建立相关管理制度保证系统的每项操作均可以对应到执行操作的具体人员；

3. 限定使用范围和使用环境；

4. 建立完善的操作记录制度，对交接班记录、重要操作记录表等等；

5. 定期更新共享账号密码。

第12条  对于程序运行或者程序自身由于管理需要访问其它系统所使用的专用账号，应符合如下要求：

1. 只允许系统和设备之间通信使用，不得作为用户登录账号使用；

2. 将此类账号的维护管理权限统一授权给该系统的系统管理员，由后者归口管理；

3. 该系统的管理员负责建立该类账号列表（参见附件），并进行变更维护。

第5章 口令管理

第13条  口令管理原则

1. 口令至少由8位及以上大小写字母、数字及特殊符号等混合、随机组成，尽量不要以姓名、电话号码以及出生日期等作为口令或者口令的组成部分。

2. 应以HASH或者加密技术保存口令，不得以明文方式保存或者传输；

3. 口令至少每90天更换一次。修改口令时，须保留口令修改记录，包含账号、修改时间、修改原因等，以备审计；

4. 5次以内不得设置相同的口令；

5. 由于员工离职等原因，原账号不能删除或者需要重新赋予另一个人时，应修改相应账号的口令。

6. 其它策略细则，可参考网络安全测评规范要求。

第14条  如系统能力支持，应开启并设置自动拒绝不符合上述口令管理规则账号和口令的参数；对于无法建立口令规则强制检查的系统，账号用户应在每次口令修改后留有记录。

第15条  对于无法进行定期修改口令的账号，如内置账号、专用账号等，由系统管理员负责在系统升级或重启时督促落实口令修改工作，负责督促落实调用该账号的程序与所访问系统两侧的口令同步工作。

第16条  当发生下述情况时，应立即撤销账号或更改账号口令，并做好记录：

1. 账号使用者由于岗位职责变动、离职等原因，不再需要原有访问权限时；

2. 临时性或阶段性使用的账号，在工作结束后；

3. 账号使用者违反了有关口令管理规定；

4. 有迹象表明口令可能已经泄露等。

第6章 审核管理

第17条  审核责任人应按照《九州注册信息系统账号权限及口令管理制度》等相关规定，对相关系统用户账户口令至少每半年进行一次定期审核，对不符合要求的及时进行整改。（信息系统级别不同，周期不同）

第18条  审核责任人应定期对下辖系统进行角色设置不相容检查。

第19条  审核责任人应定期对相关系统维护部门账号申请审批、权限变更等流程执行情况进行审核，避免非法创建账号、无主账号和权限与职责不相容账号的出现。

第20条  审核责任人应定期对相关系统维护部门口令修改执行情况进行审核，避免出现口令过期、不符合复杂度要求等问题。

第7章 附件

附件1：系统管理员授权表

附件2：用户账号权限审批表

附件3：九州注册信息系统用户账号登记表

附件4：九州注册信息系统账号口令修改记录表

附件5：账号权限申请审批流程