011用户和密码管理规定.docx
- 文档编号:6347092
- 上传时间:2023-01-05
- 格式:DOCX
- 页数:7
- 大小:18.99KB
011用户和密码管理规定.docx
《011用户和密码管理规定.docx》由会员分享,可在线阅读,更多相关《011用户和密码管理规定.docx(7页珍藏版)》请在冰豆网上搜索。
011用户和密码管理规定
江西中磊支付科技有限公司
密级:
内部
中磊第三方支付平台
【用户和密码管理规定】
文档编号:
V1.0
项目名称:
江西中磊支付平台
编写:
杨文辉
编写日期:
2014-5-9
审核:
李骏
审核日期:
2014-6-13
批准:
朱志龙
批准日期:
2014-6-17
江西中磊支付科技有限公司
2014年7月
版本控制信息
版本
日期
拟稿和修改
说明
草稿
2014-5-9
V1.0
2014-6-17
正式签发文档
江西中磊支付平台用户和密码管理规定
第一章总则
第一条为了加强江西中磊支付平台用户和密码的管理,确保江西中磊支付平台安全、可靠、稳定运行,根据国家计算机信息系统安全保护条例等相关管理规定,特制定本规定。
第二条江西中磊支付平台各类用户是通过用户名和密码这对用以识别用户合法身份的标识符,登录到相应信息系统中进行相关的操作。
加强用户和密码管理是有效防止对江西中磊支付平台运行中的信息系统进行非法访问、操作,保证信息系统安全可靠运行的重要安全措施。
第三条本规定适用于江西中磊支付平台各类应用系统的用户和密码管理。
第二章信息系统用户的管理
第四条江西中磊支付平台上线运行的信息系统的用户可分为系统管理员、应用维护管理员和一般操作人员。
系统管理员指的是信息系统所使用的操作系统、网络与数据库的管理人员。
应用维护管理员指的是信息系统应用软件和应用数据的管理与维护人员。
一般操作人员指的是使用预先编好的程序进行操作的人员。
第五条江西中磊支付平台各类用户的管理应遵循“权限分散,不得交叉覆盖”的原则。
系统管理员不得参与软件开发和应用数据管理维护,不得兼任一般操作人员;应用维护管理员不得兼任系统管理员或一般操作人员。
第六条对信息系统用户的建立和变更,应先报送技术部负责人批准,并在技术部备案。
第七条信息系统各用户调离原岗位时,必须办理有关材料、档案、软件和用户密码的交接手续;接替人员应认真接管移交工作,确保移交质量。
交接结束后,接替人员应重新设置密码后方可开始工作。
第八条信息系统的系统管理员职责为:
(一)负责信息系统软件、硬件、网络、数据库的安装、调试与技术支持,保障信息系统的正常运行。
(二)掌握网络交换机、路由器、防火墙及数据库的超级密码,负责主机、服务器的软硬件资源分配,监控网络、主机和数据库的运行。
(三)掌握系统管理员权限,按照有关要求,为操作人员分配使用权限,对信息系统数据进行严格的安全管理。
(四)管理、指导操作人员进行系统的备份和恢复。
第九条信息系统的系统管理员应具有很强的工作责任心,坚持原则,遵纪守法,恪尽职守,并保持相对稳定。
第十条信息系统应用维护管理员的职责为:
(一)对应用系统的运行进行监控,诊断、处理运行过程中各类突发故障。
(二)根据江西中磊支付平台生产系统应用软件上线测试规程,参与或监督应用软件的上线测试。
(三)定期对生产系统的历史数据、主机日志及文件系统进行维护处理。
(四)根据江西中磊支付平台生产系统帐户数据修改规程,实施计算机运行单位负责人批准后的帐户数据修改。
(五)根据相关业务部门的申请,实施或指导一般维护操作人员进行业务数据的分析提取工作。
第十一条外单位维护人员对江西中磊支付平台进行现场或远程维护时,必须经本单位技术部负责人批准,江西中磊支付平台系统管理员和应用维护管理员必须进行现场监督。
第十二条江西中磊支付平台软件开发人员(或软件开发商)在开发信息系统的设计阶段应考虑运行安全的管理需求和信息系统的安全设计,访问数据库的用户名和密码不能固化在应用软件中或直接写在数据库中,用户名和密码不得以明文的形式存放在配置文件或注册表中。
第十三条在信息系统开发过程中,江西中磊支付平台软件开发人员(或软件开发商)不得使用系统管理员用户进行管理和运行信息系统。
第十四条信息系统软件开发人员在信息系统移交过程中,必须向技术部提供关于该系统的安全设计文档和用户、密码的配置方案,并由计算机运行部门设定信息系统用户和密码,方可上线运行。
第十五条信息系统正式上线后,严禁软件开发人员作为或冒用数据库管理员访问数据库。
第十六条非核心类业务系统运行期间出现异常,需要软件开发人员(或软件开发商)进行维护时,原则上要求到现场处理,一般不得远程维护。
确需远程维护时,必须经本单位技术运维和技术研发部门负责人批准后,由计算机运行部门提供临时用户和密码,软件开发人员(或软件开发商)使用临时用户登录主机进行维护。
如需修改数据或系统配置,应由计算机运行部门的应用维护管理员完成。
远程维护结束后,计算机运行部门应立即恢复或修改原用户密码。
第十七条信息系统一般操作人员的职责为:
(一)遵守江西中磊支付平台的各项信息安全规章制度,严格执行江西中磊支付平台操作规程和运行安全管理制度。
(二)接受系统管理员的指导,在自己的权限范围内从事信息系统的各种具体业务操作或日常维护工作。
(三)不得向他人提供自己的操作密码。
(四)及时向系统管理员报告系统各种异常事件。
第三章信息系统密码的设置和管理
第十八条信息系统密码的设置应遵循如下原则:
(一)密码长度应不少于6位。
生产系统密码长度应不少于8位。
(二)密码应由大小写字母、数字以及特殊符号等字符组成。
(三)密码的字母部分不得与用户名相同
(四)不得使用姓名、电话号码、生日、地址等个人信息以及任何有意义的短语(如汉语拼音、常用单词、常用命令等)作为密码。
(五)密码应定期更改。
第十九条信息系统密码不得以任何形式存放于可公共访问的设备中,生产系统密码必须定期或不定期更换,更换时间不得超过三个月。
第二十条生产系统重要数据的修改应实行密码分段或分级管理。
第二十一条生产系统密码(含备份密码)的保管应实行专人专柜管理。
保险柜应存放在计算机机房内有录像监控的区域,备份密码必须用保密信封封存备用。
第二十二条与信息系统密码管理无关的人员不得研读或拷贝所有与密码有关的标准文件。
第二十三条对停用的密码必须定期清理和销毁,该种密码的清理和销毁按照《江西中磊支付平台计算机运行中心用户和密码管理实施细则》有关密件销毁相关规定执行。
第四章管理要求和责任处理
第二十四条信息系统的用户和密码管理工作,必须做到分工明确、责任清楚、操作规范、科学管理,确保信息系统的安全运行。
严禁违章变更、修改或向无关人员泄露密码,严禁越权操作。
第二十五条如发现伪造、泄露信息系统密码或其他重要信息等情况发生,应迅速查明情况和责任人,立即采取补救措施,并及时上报上级领导和有关部门。
第二十六条不同权限的用户应严格保密,妥善保存自己的用户密码。
如出现由于用户密码保管不善、使用不当等原因,造成系统中断或被非法访问、数据泄密及被修改的;伪造、泄露密码造成江西中磊支付科技有限公司利益重大损失和严重后果的,各单位必须根据信息系统安全保密相关责任处理规定,追究直接责任人的责任和相关领导的领导责任。
第二十七条涉及信息系统用户和密码的管理,必须实施痕迹管理;信息系统用户和密码的操作必须进行登记,以备检查。
第五章附则
第二十八条本规定由江西中磊支付科技有限公司技术部负责解释。
第二十九条本规定自下发之日起施行。
附件
江西中磊支付平台计算机运行中心用户和密码管理
实施细则
第一条加强江西中磊支付平台计算机运行中心(以下简称运行中心)内部风险控制管理,有效防范事故和防止计算机犯罪的发生,根据江西中磊支付平台运行管理有关规定和《江西中磊支付平台用户和密码管理规定》,结合运行中心信息系统的具体情况,特制定本实施细则。
第二条密码设置
运行中心机房内所有生产主、备机、生产前置机以及网络系统等各类密码初始设置由各自的密码管理员向技术部负责人报批后执行。
设置时应注意以下四点:
一是严禁生产用机不设密码,任人使用;
二是设密时应英文字母与数字混用,使之具有较强的保密性;
三是在设密过程中不得留下除密码正本外的其它纸质痕迹,以防泄密;
四是定期更换密码,至少每两个月更换一次。
第三条密码保管
密码保管应做好以下几项:
(一)保管各类密码(含备份密码)应使用保险柜,保险柜应存放在机房内有录像监控的区域。
(二)运行中心设立《江西中磊支付平台生产系统密码管理登记簿》,用于管理已用保密信封封存的备份密码。
(三)各类密码由各自的管理人员复制一份作备份,用保密信封封存后,交送运行中心保存,并进行《江西中磊支付平台生产系统密码管理登记簿》的登记工作。
(四)各类密码(含备份密码)应严格管理,各类密码的管理人员严禁将密码泄露他人。
第四条密码使用
为保障信息系统稳定、安全、高效运行,对密码的使用应严格执行以下规定:
(一)有关生产主机系统数据库操作(只读除外)、生产主机关键系统参数修改的密码使用,其审批权归技术部负责人;有关生产系统各类前置机开、关机操作,网络系统参数调整的密码使用,其审批权归技术部负责人;有关信息系统各类应用软件维护的密码使用,其审批权归技术部负责人。
(二)密码使用时,执掌密码的人员必须坚守现场,严格审查操作过程,阻止与密码使用申请无关的现场操作。
(三)维护完毕,操作者必须在相应的操作登记表上对操作做详细记录,并由密码执掌者共同确认后分别签字以示负责。
操作登记表由生产运行处归类进行管理。
(四)密码管理人员因工作需要或无法抗拒等原因无法履行密码使用义务时,必须报经相应权限负责人批准后,委托指定人员代为使用密码。
密码管理人员回来后须在有关手续上补签以示确认,并尽快更改有关密码。
第五条密码修改
运行中心机房内所有生产主、备机、生产前置机以及网络系统等各类密码的修改由各自的密码管理员进行,至少每两个月更换一次。
密码修改的相关要求与密码的初始设置要求相同,修改后密码管理员应将新密码的备份保密信封封存,交送运行中心生产运行处保管,并进行《江西中磊支付平台生产系统密码管理登记簿》的登记工作。
第六条密码废除
运行中心机房内所有生产主备机、生产前置机以及网络系统等各类密码的废除,应填报《江西中磊支付平台生产系统密码管理登记簿》并销毁保密信封封存的密码正本,同时生产主备机的密码废除应报技术部审批后执行。
密码废除条件为运行中心密码管理人员岗位调整或岗位调离。
附件:
江西中磊支付平台生产系统密码管理登记簿
序号
设备名称
账户
保密信封编号
密码使用人
密码有效期限
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 011 用户 密码 管理 规定