第一章 總則

第一條 為進(jìn)一步加強山東外貿職業(yè)學(xué)院信息系統（含平臺、網(wǎng)站等）的賬號、口令及權限管理工作，規范信息系統賬號和密碼的使用，降低信息安全風(fēng)險, 根據《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國密碼法》等法律法規，特制定本辦法。

第二條 本辦法適用于各部門(mén)對信息系統的各類(lèi)賬號與密碼進(jìn)行規范管理。

第二章 職責與權限

第三條 信息技術(shù)中心負責制定學(xué)院各類(lèi)信息系統賬號、密碼制度及規范；指導學(xué)院信息系統賬號、口令管控工作。

第四條 各部門(mén)負責對所屬系統的賬號、密碼進(jìn)行管理。

第三章 賬號管理

第五條 各部門(mén)負責對所屬系統管理員賬號（包括操作系統、數據庫、關(guān)鍵業(yè)務(wù)和辦公應用系統、網(wǎng)絡(luò )設備及管理程序、網(wǎng)絡(luò )安全設備及管理程序、加密設備及管理程序的超級管理員賬號或有超級管理員權限的賬號等）的分配和歸檔管理工作。

第六條 系統管理員負責相關(guān)信息系統普通用戶(hù)賬號的創(chuàng )建、初始化、權限變更、刪除、禁止等操作，行使賬號管理工作，并對賬號的使用者信息、權限、使用期限等進(jìn)行記錄，對賬號操作日志等進(jìn)行審核。信息系統普通用戶(hù)需根據賬號管理辦法申請賬號，并遵守賬號與口令管理使用的規定。

（一）賬戶(hù)開(kāi)通

統一認證賬號是學(xué)院為師生和校內單位員工提供的登錄學(xué)校各應用系統的統一賬號，用戶(hù)可以使用該賬號登錄其有權限訪(fǎng)問(wèn)的校內應用系統。統一認證賬號實(shí)行實(shí)名制方式管理。原則上學(xué)院各系統通過(guò)學(xué)院數據中心統一賬戶(hù)信息，由學(xué)院智慧校園門(mén)戶(hù)實(shí)行統一單點(diǎn)登錄，原則上不單獨設置登錄網(wǎng)址。

新進(jìn)教職工賬號（原則上為工號）信息由人事部門(mén)在人事系統創(chuàng )建并設置，由信息技術(shù)中心進(jìn)行數據同步，開(kāi)通統一認證賬號；校內其他用戶(hù)由各部門(mén)根據工作需要通過(guò)辦事大廳工作流申請開(kāi)通。新入學(xué)的學(xué)生賬號（原則上為學(xué)號）信息由教務(wù)部門(mén)在教務(wù)系統進(jìn)行創(chuàng )建并設置，由信息技術(shù)中心進(jìn)行數據同步，開(kāi)通統一認證賬號。

（二）賬戶(hù)停用及數據管理

根據人事系統人員狀態(tài)，教工在辦理完離校手續1個(gè)月后，其統一認證賬號將被設置為停用狀態(tài)，企業(yè)微信賬號刪除銷(xiāo)號。各系統的數據原則上保留，無(wú)需留存的數據經(jīng)部門(mén)負責人同意后可刪除。

根據教務(wù)系統學(xué)生狀態(tài)，學(xué)生畢業(yè)離校1個(gè)月后，其統一認證賬號將被設置為停用狀態(tài)，企業(yè)微信賬號刪除銷(xiāo)號。各系統的數據原則上保留，無(wú)需留存的數據經(jīng)部門(mén)負責人同意后可刪除。

其他用戶(hù)在辦理完離校手續后，企業(yè)微信賬號刪除銷(xiāo)號，其統一認證賬號將被設置為停用狀態(tài)，6個(gè)月后刪除。各系統的數據原則上刪除，需留存的數據經(jīng)部門(mén)負責人同意后可留存。

如有其他特殊情況，另行討論處理。

第七條 各系統管理員應當對系統中存在的賬號進(jìn)行定期檢查，確保系統中不存在無(wú)用或匿名賬號，應避免使用系統默認賬號，避免系統內部存在共享賬號, 禁止在公共公開(kāi)的網(wǎng)站系統中公布賬號密碼。

第八條 系統管理員不能共享超級用戶(hù)賬號，應采用組策略控制超級用戶(hù)的訪(fǎng)問(wèn)。業(yè)務(wù)管理人員不能共享業(yè)務(wù)管理賬號，應當為每一位業(yè)務(wù)管理人員分配單獨的賬號。嚴格限制創(chuàng )建公共用戶(hù)賬號，且公用賬號不得具有訪(fǎng)問(wèn)敏感信息以及“寫(xiě)”和“執行”的系統權限。

第九條 學(xué)院各業(yè)務(wù)部門(mén)應定期檢查各系統賬號的管理情況，內容應包含如下幾個(gè)方面：

（一）員工離職或賬號已經(jīng)過(guò)期，相應的賬號在系統中仍然存在；

（二）用戶(hù)是否被授予了與其工作職責不相符的系統訪(fǎng)問(wèn)權限；

（三）賬號使用情況是否和系統管理員備案的用戶(hù)賬號權限情況一致；

（四）是否存在非法賬號或者長(cháng)期未使用賬號；

（五）是否存在弱口令賬號。

第十條 各系統應具有安全日志功能，能夠記錄系統賬號的登錄和訪(fǎng)問(wèn)時(shí)間、操作內容、IP地址等信息。符合網(wǎng)絡(luò )安全法，數據安全法及等保要求。

第十一條 系統在創(chuàng )建賬號、變更賬號以及撤銷(xiāo)賬號的過(guò)程中，應得到部門(mén)負責人的審批后才可實(shí)施。

第四章 密碼管理

第十二條 系統應該強制指定密碼的策略，包括密碼的有效期提醒：建議每季度更新一次密碼；密碼長(cháng)度：要求最短長(cháng)度9位以上；密碼復雜度：要求最低為大小寫(xiě)字母、數字、特殊字符的組合等。

第十三條  賬號和密碼的存儲、傳輸應采用加密方式。對于自動(dòng)生成密碼的系統，必須確保密碼生成算法的可靠性和安全性以及密碼生成的隨機性。嚴禁用戶(hù)向任何人公開(kāi)其本人或他人的賬號信息，特別是擁有管理員權限或超級管理員權限的用戶(hù)。未經(jīng)同意，使用人不得將密碼告訴他人，如果系統的密碼泄漏，必須立即更改。禁止使用空密碼、弱口令或與用戶(hù)名相同的密碼作為初始密碼。

第十四條  信息系統應保證用戶(hù)在首次登錄時(shí)，修改其初始密碼。密碼在輸入系統時(shí)，不能在顯示屏上明文顯示出來(lái)。系統應關(guān)閉所有缺省的匿名賬號，所有系統集成商在施工期間設立的缺省密碼在系統投入使用之前都必須修改。

第十五條 除了管理員外，普通用戶(hù)不能改變其他用戶(hù)的口令。

第十六條 管理員必須設定用戶(hù)登錄嘗試的次數限制和超過(guò) 失敗次數的處置措施。信息系統管理員賬號登錄嘗試次數不大于 3次，信息系統用戶(hù)賬號登錄嘗試次數不大于5次。一旦在一定時(shí)間內使用同一個(gè)用戶(hù)賬號的失敗登錄超過(guò)限定次數，該賬號應被自動(dòng)禁用數分鐘或由管理員重新激活該用戶(hù)賬號。各類(lèi)賬戶(hù)登錄界面應啟用驗證碼認證機制，避免暴力破解。

第十七條  應嚴格控制對存有用戶(hù)賬號和密碼文件的訪(fǎng)問(wèn)。

第十八條  對于重要的信息系統，應符合相關(guān)安全認證要求，如進(jìn)行雙因子認證。

第五章 權限管理

第十九條 各系統應根據“最小授權”的原則設定賬戶(hù)訪(fǎng)問(wèn)權限，控制用戶(hù)僅能夠訪(fǎng)問(wèn)到工作需要的信息，即給用戶(hù)完成工作的最小權限。

第二十條 從賬號管理的角度，應進(jìn)行基于角色的訪(fǎng)問(wèn)控制權限的設定，即對系統的訪(fǎng)問(wèn)控制權限是以角色或組為單位進(jìn)行授予。一個(gè)用戶(hù)根據業(yè)務(wù)需要可以分配多個(gè)角色。

第二十一條 各系統應該設置審計用戶(hù)的權限，審計用戶(hù)應當具備比較完整的讀權限，審計用戶(hù)應當能夠讀取系統關(guān)鍵文件，檢查系統設置、系統日志等信息。

第六章 附則

第二十二條 本辦法由學(xué)院網(wǎng)信辦制定，并負責解釋和修訂。

第二十三條 本辦法自發(fā)布之日起執行。

第二十四條 本辦法未盡事宜，依照法律法規和上級文件要求確立的原則處理。