信息系统权限及密码管理办法

第一章 总则

第一条 为了确保公司信息系统安全，规范用户授权及管理，防止信息系统非授权访问，特制订本办法。

第二条 本管理办法适用于以下用户的权限管理： 1. 数据库用户； 2.应用系统用户；

3.操作系统用户，包括服务器、网络设备、安全设备的操作系统等；

4.域用户、AAA用户。

第三条 权限管理应遵循最小授权和必须知道原则，且禁止匿名账户存在。最小授权原则指仅让用户能够访问其工作需要的信息，其他信息则不能被该用户访问。必需知道原则指应该让用户有权限访问其工作中需要用到的信息。

第四条 权限管理应遵循操作权与审批权分离的原则，即权限的审批管理者不得进行具体业务操作。

第五条 权限管理应遵循业务和技术分离的原则，即禁止技术人员拥有业务操作权限，禁止业务人员拥有技术方面的权限，防范两者结合可能引发的风险。

第二章 权限管理要求

第六条 数据库用户由信息技术部管理，应用系统用户由系统使用部门管理，服务器、网络设备操作系统用户由信

息技术部管理，域用户、AAA用户由信息技术部管理。

第七条 原则上超级管理员用户，由两个或两个以上的人员共同管理。

第八条 除超级管理员用户外，其他用户应以实名制方式管理，用户账户仅限申请人个人使用。

第九条 系统使用部门应制定合理的管理流程，对用户及权限的申请、使用、变更、停用进行安全有效的管理。其中数据库、服务器、网络及安全设备、域、AAA等用户及权限申请流程由信息技术部制定，应用系统的管理流程由业务使用部门制定，合规部负责对管理流程进行审核。

第十条 权限管理部门应对权限申请、变更、停用应有审批及操作记录进行妥善保管，以备审计。

第十一条 用户管理部门应从安全管理的角度，定期对用户权限进行检查。

第十二条 信息系统应以不可修改的方式记录用户权限的授权、变更、使用、停用等信息，以备审计。

第十三条 原则上，载有公司客户信息的应用系统及相关数据库的授权须经合规部、系统使用部门、信息技术部及公司领导审批。

第十四条 出于数据备份、系统间数据同步的需要，如需要建立数据库用户供应用系统使用，应用系统的使用部门在提交权限申请时，应从安全管理的角度制定完整的管理流

程，经信息技术部、合规部审核后，方可授权。

第十五条 员工离职或工作岗位调整时，须由员工所在部门发起对系统权限进行变更。

第三章 密码管理要求

第十六条 超级管理员用户的密码应由两个或两个以上人员共同掌管；其他用户的密码由用户使用者掌管，不得向其他人透露。

第十七条 原则上，载有公司客户信息的应用系统及相关数据库的超级用户密码应由合规部及信息技术部分段掌管。

第十八条 密码禁止以明文方式存放和存储。

第十九条 密码应至少每三个月更换一次，密码更换由密码掌管者负责。

第二十条 当用户密码遗失或者遗忘时，用户应向用户管理部门发出申请重置用户密码。

第二十一条 公司购买密码产品时，必须选用经国家密码管理机构认可的商用密码产品，销售单位必须具有国家密码管理部门出具的销售许可证。

第二十二条 密码产品发生故障，必须由国家密码管理机构指定的单位维修。报废、销毁商用密码产品，应当向国家密码管理机构备案。

第四章 密码设置及使用要求

第二十三条 密码中必须含有数字（0-9）、字母（a-Z）