系统账号管理规定.docx

This manuscript was revised by JIEK MA on December 15th, 2012.
系统账号管理规定
系统账号管理办法
文档信息
机密级分类
版版本控制删除账号或更改口令,并对操作日志进行审阅。
对操作系统级和数据库层超级用户的账号(比如根用户，系统管理员，安全管理员账号，批处理用户账号，数据库管理员) 由信息化部系统维护部经理对正式书面审批，使用仅限于经授权的系统管理人员;信息化部系统维护部经理对操作系统层及数据库层超级用户账号的清单每季进行复核并签字确认，并对多余或不恰当的账号进行调整。
对应用系统层超级用户的账户的建立是根据用户工作职责，仅限于经授权的应用管理人员使用。各系统遵循如下规定：
信息化部业务维护部经理或各业务部门主管对BOSS系统应用管理员、工号管理员的授权审批建立正式的书面审批表格，并且对BOSS系统管理员、工号管理员的清单每季进行复核并签字确认，并对多余或不恰当的账号进行调整；
如果系统中存在第三方厂商人员使用账号的情况，应和第三方厂商签订相关的安全保密协议，，局方人员在每次操作执行时应根据部门主管授权，临时开通远程登录功能。局方人员对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。在操作完成后，局方人员应及时终止远程登录。
对于部分因系统接口原因在系统中预设的用户账号，应对接口程序、脚本或相关设置进行加密或实施访问控制，以防止未经授权的访问。对内置账号的目录/文件访问权限严格限制在该账号的功能范围内并定期检查。在系统做定期维护时对密码做更改。对该类账号的操作要保留日志并定期审阅。
各账号和权限的操作、管理人员应严格遵守我公司相关管理规定，不得以任何非法形式操作非本人权限范围内之事。
第五章　 账号的建立、变更、撤销和审阅
当需要在系统中创建新账号或新用户角色时，由申请人填写《账号权限变更记录单》提出申请，明确要使用账号的人员信息、账号权限，或者新用户角色的权限，经账号审批人员签字审批后，由账号管理员在系统中执行账号创建操作。执行完毕后，在记录单上签字后归档。
各系统普通用户账号管理由部门主管授权的帐号管理员负责。账号的权限进行调整或增加/删除，须由业务部门主管对权限变更记录单审批确认后，由帐号管理员在系统中进行设置。
当需要在系统中进行账号权限或用户角色权限变更时,由申请人填写《账号权限变更记录单》提出申请, 明确变更内容, 经账号审批人员签字审批后，由账号管理员在系统中执行账号变更操作。执行完毕后，在记录单上签字后归档。
当发生员工调动或离职时,原所在部门须在调动离职批准后2日内，由帐号管理员对该人员的帐号进行删除或者禁止使用管理处理。
当系统管理员离职或调职时，应对此类关键账号进行禁用处理并保留相关账号操作日志待查，接任的管理员经过申请审批流程获得新的管理员账号。如果管理员账号无法变更或禁用（如root账号，DBA账号等）则建立正式的账号移交流程，由部门负责人员对账号移交单签字认可后，离职的系统管理员将账号移交给接任的系统管理员。接任的系统管理员立即更改该管理员账号密码，并在账号移交单上签字后归档。
当应用系统新增功能涉及到账号权限分配时,由需求部门(BOSS系统)在正式文件中明确新增功能在系统中的开放范围，由信息化部应用系统账号管理员在系统中执行新增功能访问权限分配工作。
当在某些情况下需要临时授权时，由申请人填写《账号权限变更记录单》，明确申请原因、授权账号、权限内容和权限使用期限等信息，经账号审批人员签字审批后，由账号管理员在系统中执行权限分配工作。当工作结束后，应由账号管理员立即将临时权限收回，并在记录单上记录回收情况和签字后归档保存。
当某用户需要超级权限时，应在其原有的账号之外，另行设置一个授予了超级权限的特殊账号。
信息化部每半年将各系统中的账号清单（包括应用层、数据库层和操作系统层的超级用户,系统管理员和普通用户在内的所有账号）提供给各部门, 由账号所在部门领导或授权人员进行复核和签字确认, 对多余或不恰当的账号须依照账号变更或撤销流程进行调整, 并将结果汇总至信息化部保存。
信息化部每半年或业务流程发生重大变更时, 将系统中的账号访问权限清单提供给各部门,由账号所在部门进行审阅签字, 以避免在账号的权限中有不相容职责的存在。如发现不相容职责须依照账号和权限变更流程进行调整, 并将结果汇总至信息化部保存。
对于采取用户角色来向用户分配访问权限的系统,信息化部应建立系统权限和用户职责（或用户角色）矩阵表, 用来反映用户职责（或用户角色）与其所