信息系统用户及密码管理办法.doc

信息系统用户及密码管理办法.doc 第一条 为了加强风险管理，强化保密工作，提高信息系统整体安全水平，有效防范信息安全风险，确保信息系统稳定、安全、可靠的运行，根据信息系统信息安全管理制度，制定本办法。 第二条 本办法适用于我院开发管理的各应用信息系统。 《信息系统用户及密码管理办法》是针对信息安全风险防范和信息系统稳定运行的重要规范，旨在加强风险管理、强化保密工作，提升整体安全水平。本办法适用于由特定机构开发管理的各种应用信息系统。 第一章总则强调了制定该办法的目的，即依据信息系统信息安全管理制度，确保信息系统的安全、稳定和可靠。办法适用范围涵盖所有由该机构开发管理的应用信息系统。 第二章详细规定了用户与密码的设定。用户分为系统管理用户、应用维护管理用户、查询用户和一般操作用户，各类用户职责分明，不得交叉覆盖权限。例如，系统管理用户不能参与应用软件的管理和维护，应用维护管理用户不得兼管系统管理或一般操作用户。所有用户必须设置密码，且密码设置有明确规则，包括但不限于密码有效期、长度、复杂性要求等，以降低被盗用的风险。 第六条详述了密码设置的要求，包括但不限于：用户账号通常基于人员姓名的缩写设定，密码至少8位，包含大小写字母、数字和特殊符号，且不得与用户名相同或包含个人信息。同时，系统应具备控制密码有效期、限制错误输入次数的功能，以防止未经授权的访问。 第七至十条分别讲述了系统管理用户、应用维护管理用户和查询用户的设定流程，强调了初始密码设置、权限分配以及用户授权审批的重要性。用户申请、变更和注销需要经过一定的审批流程，并要求用户收到权限后立即更改初始密码。 第三章主要讨论用户与密码的使用与管理，要求系统管理用户和应用维护管理用户的密码变更需记录在案，实施操作时需有相关人员监督，并在无法现场监督时采取A角和B角的角色切换机制，确保密码的安全性。同时，所有用户应定期更换密码，以增加安全性。 这个办法为信息系统用户和密码管理提供了一套严谨的框架，通过明确的用户分类、权限分配、密码策略和操作监控，保障了信息系统的安全性，避免了潜在的信息泄露和风险。这对于任何依赖于信息技术的组织来说，都是至关重要的。