河北艺术职业学院信息安全管理制度-账号与密码管理制度

第一章总则  

第一条为了加强河北艺术职业学院（以下简称“河北艺校”）信息系统账号与密码的安全管理，规范信息系统账号和密码的使用，降低信息安全风险，制定本制度。  

第二章适用范围  

第二条本制度适用于河北艺术职业学院各部门，规范非涉密信息系统的各类账号与密码管理。  

第三章职责  

第三条安全管理员负责系统管理账号（包括主机操作系统、数据库、关键业务和办公应用系统、网络设备及管理程序、网络安全设备及管理程序、加密设备及管理程序的超级管理员账号或有超级管理员权限的账号）的分配和归档管理工作。  

第四条信息系统各管理员负责相关信息系统普通用户账号的创建、初始化、权限变更、删除、禁止等操作账号管理工作。  

第五条信息系统用户  

1、信息系统用户根据账号管理办法申请账号，在账号申请后，有义务保证账号的安全，不能私自共享账号。  

2、信息系统用户对账号的使用必需遵守账号与口令管理的规定。  

第四章账号管理  

第六条账号创建流程：  

1、创建信息系统用户账号：由具体用户提出书面申请。经信息系统管理部门核准后，由信息系统相关管理员具体实施账号和密码的初始化程序，并登记备查，然后通知用户。  

2、创建系统管理账号：由安全管理员向信息系统各管理员进行授权。  

3、系统的安全日志组件应能记录账号的变动信息，安全管理员应每月对相关账号日志和账号创建申请进行定期审核。  

第七条在创建用户账号时，必须遵循下列安全规定：  

1、严格限制创建公用用户账号，且公用账号不得具有访问敏感信息以及“写”和“执行”的系统权限。  

2、用户账号的权限设置应遵循“最小需要知道”原则，即给用户能完成工作的最小权限。  

3、系统开启对用户账号、用户权限和登录管理的日志审计功能。  

4、禁止使用空密码或与用户名相同的密码作为初始密码。  

第八条关闭所有缺省的匿名账号。  

第九条应用系统管理员在通知用户初始密码时，必须采用加密或其他安全传输途径，以确保初始密码不会被中途截取。  

第十条应用系统管理员必须强制用户在首次登录时，修改其初始密码。  

第五章密码管理  

第十一条密码的设置应符合以下规则要求：

第十二条对于自动生成密码的系统，必须确保密码生成算法的可靠性和安全性以及密码生成“种子”的随机性。  

第十三条严禁用户向任何人公开其本人或他人的账号信息，特别是拥有管理员权限或超级管理员权限的用户。  

第十四条账号和密码的存储、传输应采用加密方式，禁止将账号信息记录在纸介质中或明文存放。  

第十五条管理员必须设定用户登录尝试的次数限制和超过失败次数的处置措施。信息系统管理员账号登录尝试次数不大于3次，信息系统用户账号登录尝试次数不大于5次。一旦在一定时间内使用同一个用户账号的失败登录超过限定次数，该账号应被自动禁用数分钟或由管理员重新激活该用户账号。  

第十六条各类账户登录界面应启用验证码认证机制，避免暴力破解。  

第十七条应严格控制对存有用户账号和密码文件的访问。  

第六章相关文件  

第十八条无  

第七章附则  

第十九条本制度自发布之日起执行。  

第二十条本制度的解释和修改权属于信息安全领导小组。  

第二十一条信息安全领导小组每年统一检查和评估本制度，并做出适当更新。在业务环境和安全需求发生重大变化时，也将对本制度进行检查和更新。