信息安全等級保護制度-信息系統(tǒng)帳號和密碼管理規(guī)定一、總則（一）目的為加強信息系統(tǒng)的信息安全管理，規(guī)范信息系統(tǒng)帳號和密碼的使用，確保信息系統(tǒng)的安全性、可靠性和穩(wěn)定性，依據(jù)國家相關(guān)信息安全法律法規(guī)以及信息安全等級保護制度的要求，特制定本規(guī)定。（二）適用范圍本規(guī)定適用于本單位所有使用信息系統(tǒng)的部門、人員以及與信息系統(tǒng)相關(guān)的各項活動，包括但不限于信息系統(tǒng)的開發(fā)、運營、維護等環(huán)節(jié)中涉及的帳號和密碼管理。（三）引用標準本規(guī)定引用了以下國家和行業(yè)相關(guān)標準：《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》二、帳號管理（一）帳號申請1.申請流程員工因工作需要使用信息系統(tǒng)帳號時，需填寫《信息系統(tǒng)帳號申請表》，詳細說明申請帳號的信息系統(tǒng)名稱、用途、使用期限等內(nèi)容。申請表需經(jīng)員工所在部門負責人審核簽字，確認申請的合理性和必要性。審核通過后，申請表提交至信息安全管理部門，由信息安全管理部門根據(jù)系統(tǒng)權(quán)限設(shè)置和安全策略進行審批。2.特殊情況處理對于臨時需要使用信息系統(tǒng)的外部人員（如合作伙伴、供應(yīng)商等），由業(yè)務(wù)對接部門負責填寫《外部人員信息系統(tǒng)帳號申請表》，注明外部人員的身份信息、使用目的、使用期限等，并經(jīng)業(yè)務(wù)對接部門負責人和信息安全管理部門負責人審批。緊急情況下，可先由信息安全管理部門負責人電話授權(quán)開通帳號，但申請人需在24小時內(nèi)補齊相關(guān)申請手續(xù)。（二）帳號創(chuàng)建1.創(chuàng)建原則信息安全管理部門根據(jù)審批通過的申請表為申請人創(chuàng)建帳號。帳號命名應(yīng)遵循統(tǒng)一的規(guī)則，采用“部門代碼+員工姓名拼音首字母”的方式，確保帳號的唯一性和可識別性。對于不同安全級別的信息系統(tǒng)，應(yīng)根據(jù)系統(tǒng)的安全要求和用戶的工作職責，為帳號分配相應(yīng)的權(quán)限。權(quán)限分配應(yīng)遵循最小化原則，即只授予用戶完成工作所需的最少權(quán)限。2.創(chuàng)建流程信息安全管理部門在收到審批通過的申請表后，在2個工作日內(nèi)完成帳號創(chuàng)建工作。創(chuàng)建完成后，信息安全管理部門應(yīng)及時將帳號信息（包括帳號名、初始密碼等）以安全的方式通知申請人，并告知申請人及時修改初始密碼。（三）帳號使用1.使用規(guī)范用戶必須妥善保管自己的帳號，不得將帳號轉(zhuǎn)借、出租或共享給他人使用。用戶應(yīng)定期登錄信息系統(tǒng)，檢查帳號的使用情況，如發(fā)現(xiàn)異常登錄或操作，應(yīng)及時向信息安全管理部門報告。用戶在使用信息系統(tǒng)時，應(yīng)嚴格遵守系統(tǒng)的操作規(guī)范和安全要求，不得進行違規(guī)操作。2.權(quán)限變更用戶因工作崗位調(diào)整或工作職責變化需要變更帳號權(quán)限時，需填寫《信息系統(tǒng)帳號權(quán)限變更申請表》，經(jīng)所在部門負責人審核、信息安全管理部門審批后，由信息安全管理部門進行權(quán)限調(diào)整。權(quán)限變更應(yīng)在3個工作日內(nèi)完成，并及時通知用戶。（四）帳號停用與注銷1.停用情況用戶因休假、出差等原因暫時不需要使用信息系統(tǒng)帳號時，由用戶所在部門負責人填寫《信息系統(tǒng)帳號停用申請表》，經(jīng)信息安全管理部門審批后，信息安全管理部門在1個工作日內(nèi)將帳號停用。停用的帳號在停用期間不得使用，停用期限最長為3個月，超過3個月仍需停用的，應(yīng)辦理帳號注銷手續(xù)。2.注銷情況用戶離職、崗位調(diào)動不再需要使用原信息系統(tǒng)帳號，或因其他原因不再需要使用帳號時，由用戶所在部門負責人填寫《信息系統(tǒng)帳號注銷申請表》，經(jīng)信息安全管理部門審批后，信息安全管理部門在1個工作日內(nèi)將帳號注銷。帳號注銷前，信息安全管理部門應(yīng)檢查帳號的使用情況，確保帳號內(nèi)的重要數(shù)據(jù)已備份或處理完畢。三、密碼管理（一）密碼設(shè)置1.設(shè)置要求用戶首次登錄信息系統(tǒng)后，應(yīng)立即修改初始密碼。密碼應(yīng)包含大寫字母、小寫字母、數(shù)字和特殊字符，長度不少于8位。密碼應(yīng)具有一定的復(fù)雜性，避免使用與個人信息（如姓名、生日、電話號碼等）相關(guān)的簡單密碼。不同信息系統(tǒng)的密碼應(yīng)盡量不同，避免因一個系統(tǒng)密碼泄露導(dǎo)致其他系統(tǒng)安全受到威脅。2.定期更換用戶應(yīng)每90天更換一次密碼。信息系統(tǒng)應(yīng)在密碼到期前10天提醒用戶更換密碼。如發(fā)生密碼泄露或懷疑密碼被他人獲取的情況，用戶應(yīng)立即更換密碼，并向信息安全管理部門報告。（二）密碼存儲1.存儲方式信息系統(tǒng)應(yīng)采用加密算法對用戶密碼進行存儲，嚴禁以明文形式存儲密碼。密碼存儲的加密密鑰應(yīng)進行安全管理，由信息安全管理部門專人負責保管。2.備份與恢復(fù)信息安全管理部門應(yīng)定期對密碼存儲數(shù)據(jù)進行備份，并將備份數(shù)據(jù)存儲在安全的位置。如發(fā)生密碼存儲數(shù)據(jù)丟失或損壞的情況，信息安全管理部門應(yīng)及時使用備份數(shù)據(jù)進行恢復(fù)。（三）密碼找回與重置1.找回方式信息系統(tǒng)應(yīng)提供密碼找回功能，用戶可通過注冊的手機號碼、電子郵箱等方式找回密碼。用戶在找回密碼時，需通過系統(tǒng)的身份驗證，如輸入注冊時預(yù)留的手機號碼驗證碼、電子郵箱驗證碼等。2.重置流程如用戶無法通過密碼找回功能重置密碼，可向信息安全管理部門申請密碼重置。用戶需填寫《信息系統(tǒng)密碼重置申請表》，經(jīng)所在部門負責人審核、信息安全管理部門審批后，信息安全管理部門為用戶重置密碼。重置后的密碼為初始密碼，用戶應(yīng)及時修改。四、安全審計與監(jiān)督（一）審計內(nèi)容1.信息安全管理部門應(yīng)定期對信息系統(tǒng)帳號和密碼的使用情況進行審計，審計內(nèi)容包括帳號的創(chuàng)建、使用、停用、注銷情況，密碼的設(shè)置、更換情況等。2.審計記錄應(yīng)包括審計時間、審計人員、審計內(nèi)容、審計結(jié)果等信息，審計記錄應(yīng)保存至少2年。（二）監(jiān)督檢查1.信息安全管理部門應(yīng)不定期對用戶的帳號和密碼使用情況進行監(jiān)督檢查，檢查內(nèi)容包括帳號是否轉(zhuǎn)借、出租或共享，密碼是否符合設(shè)置要求等。2.對于違反本規(guī)定的行為，信息安全管理部門應(yīng)及時進行糾正，并根據(jù)情節(jié)輕重給予相應(yīng)的處罰。（三）應(yīng)急處理1.如發(fā)現(xiàn)信息系統(tǒng)帳號和密碼存在安全漏洞或發(fā)生安全事件，信息安全管理部門應(yīng)立即啟動應(yīng)急預(yù)案，采取相應(yīng)的措施進行處理，如停用帳號、重置密碼、加強安全防護等。2.應(yīng)急處理結(jié)束后，信息安全管理部門應(yīng)及時對事件進行總結(jié)分析，提出改進措施，防止類似事件再次發(fā)生。五、培訓(xùn)與教育（一）培訓(xùn)計劃1.信息安全管理部門應(yīng)制定年度信息安全培訓(xùn)計劃，將帳號和密碼管理規(guī)定納入培訓(xùn)內(nèi)容。2.培訓(xùn)計劃應(yīng)包括培訓(xùn)時間、培訓(xùn)地點、培訓(xùn)對象、培訓(xùn)內(nèi)容等信息。（二）培訓(xùn)方式1.采用集中授課、在線學習、案例分析等多種方式進行培訓(xùn)，確保員工能夠充分理解帳號和密碼管理規(guī)定的重要性和具體要求。2.對于新入職員工，應(yīng)在入職培訓(xùn)中進行帳號和密碼管理規(guī)定的專項培訓(xùn)。（三）培訓(xùn)效果評估1.培訓(xùn)結(jié)束后，應(yīng)通過考試、問卷調(diào)查等方式對培訓(xùn)效果進行評估。2.對于培訓(xùn)效果不理想的員工，應(yīng)進行補考或重新培訓(xùn)，確保員工掌握帳號和密碼管理規(guī)定的相關(guān)知識。六、違規(guī)處理（一）違規(guī)行為界定1.轉(zhuǎn)借、出租或共享信息系統(tǒng)帳號的行為。2.使用簡單密碼或未按規(guī)定定期更換密碼的行為。3.未按規(guī)定申請、停用或注銷帳號的行為。4.故意泄露帳號和密碼信息的行為。（二）處理措施1.對于首次違反本規(guī)定的員工，由信息安全管理部門進行警告，并責令其立即改正。2.對于多次違反本規(guī)定或情節(jié)嚴重的員工，給予通報批評、扣除績效獎金等處分；情節(jié)特別嚴重的，解除勞動合同。3.對于外部人員違反本規(guī)定的，取消其使用信息系統(tǒng)的資格，并追究相關(guān)法律責任。七、附則（一）解釋權(quán)本規(guī)定由信息安