取得管理员权限证券股份有限公司公司系统帐号、口令及权限管理规范模版
证券股份有限公司公司系统帐号、口令及权限管理规范模版
一、制定目的
为确保证券股份有限公司的各个系统和数据库的安全,规范帐号和口令的设置和管理,合理分配和控制系统访问权限,制定此规范。
二、适用范围
该规范适用于证券股份有限公司公司内部所有系统和数据库的帐号、口令和权限管理。
三、基本原则
1. 安全原则:系统帐号、口令和权限访问控制应优先考虑安全性。
2. 最小权限原则:系统所有用户的权限应按需授权,最小化权限授予。
3. 可追溯原则:系统操作应有记录,并保留一定时间,方便追溯。
4. 定期更新原则:系统用户应在规定时间内定期修改密码。
5. 独立原则:系统帐号、密码及权限应与员工身份相互独立,避免工作职责和权限冲突。
四、帐户管理规范
1. 员工入职
(1) 员工入职时,系统管理员应基于人力资源部门提供的信息,设置员工系统帐号。
(2) 帐号可以是个人员工号、工作邮箱地址等。
(3) 为新员工建立系统帐号前,应向人力资源部门核实其任职资格,并注明其访问权限级别。
2. 帐户周期
(1) 公司内部系统的帐户适用周期应与员工职位期限相同。
(2) 员工转职或离职时,应及时更换或撤销其对应系统帐号。
3. 密码规范
(1) 密码长度应大于等于8位,且应使用数字,大小写字母、符号等组合。
(2) 密码应为用户独属,禁止共享、泄露和以明文方式存储。
(3) 密码应定期更改,并建议使用密码管理工具。
4. 帐户锁定限制
(1) 密码或口令输错次数超限,应使用自动或手动加锁方式,防止黑客进入系统。
(2) 锁定状态下,用户应及时联系系统管理员解锁。
五、权限管理规范
1. 授权
(1)授权申请应基于员工工作职责和需访问目标系统的功能。
(2)授权应由系统管理员或上级领导审批签字,记录授权时间及对应的授权目标。
(3)对公共数据库、网络文件夹等应按照部门需要进行授权,但避免有敏感信息的部分进行分级权限访问。
2. 授权撤销
(1)员工离职或职责变更时,系统管理员应及时取消相应的权限。
(2)用户违反公司规定使用系统的,应当取消相应的权限。
3. 审计和日志
(1)对系统帐户和权限的使用情况应记录操作日志,并进行审计,以确保可追溯原则。
(2)样板公司内部应定期收集、统计、分析与权限分配相关的权限信息,进行合理分析、整理和隐私保护等管理工作,以确保独立原则。
六、风险处理方法
在制定本规范及管理过程中,可能会出现以下风险:
1. 员工泄漏信息,导致敏感信息泄露。
防范方法:规范密码设置,加强安全意识培训,约束员工的行为。
2. 攻击者通过计算机病毒等方式得到了公司网络的访问权限。
防范方法:加强网络安全,定期检查和维护服务器和软件,定期做数据备份,建立相应的数据恢复机制等。
七、责任分工
1. 系统管理员:负责系统帐号、口令及权限管理,有效保护系统和数据库的安全。
2. 员工:应遵守公司安全规定,严格保密自己的帐号和密码。
3. 管理部门:应配合系统管理员对加强安全管理工作的措施所取得的成果,对违反规定导致应用系统损坏、故障等情况予以处理。
八、总结
本规范规定了证券股份有限公司公司内部所有系统和数据库的帐号、口令和权限管理的基本原则、具体规范等,旨在保障公司内部系统和数据库的安全,规范帐号和口令的设置和管理,合理分配和控制系统访问权限。所有公司员工都应遵守本规范,加强安全意识,切实维护公司信息资产的安全。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论