关于印发《山西工商学院信息系统账户和密码管理制度》的通知
各单位、各部门:
为规范校内信息系统账户与密码管理,加强信息化系统风险管控,提高学校信息系统的安全级别,防止账户盗用、信息泄露等安全风险,保障信息系统及数据资源的安全稳定运行,结合我校实际,特制定本制度。经学校研究通过,现予以印发,请认真学习,遵照执行。
山西工商学院
2023年6月9日
山西工商学院信息系统账户和密码管理制度
第一章 总 则
第一条 为规范校内信息系统账户与密码管理,加强信息化系统风险管控,提高学校信息系统的安全级别,防止账户盗用、信息泄露等安全风险,保障信息系统及数据资源的安全稳定运行,特制定本制度。
第二条 本制度适用于校内所有信息系统(包括但不限于应用系统、教学资源平台、官方网站、专用数据库等)的账户创建、使用、变更、注销及密码设置、保管、更新等全流程管理活动,覆盖校内全体教职工、学生及其他授权使用校内信息系统人员。
第二章 账户管理
第三条 账户创建
(一)对于普通账户,根据业务需求,通过数据中台进行人员信息同步和权限开通。
(二)对于管理员账户,实行 “专人专岗、一岗一账户” 制度,严格控制管理员账户数量,明确管理员权限范围并进行备案。
(三)账户信息应真实准确,包含用户姓名、所属部门、联系方式等关键信息,设备处/信息化建设中心统一建立账户台账,定期进行核对更新。
第四条 账户使用与变更
(一)用户应妥善保管个人账户信息,不得转借、共用账户,严禁利用账户从事违法违规活动。
(二)当用户岗位调整、部门变动或离职时,需及时通知设备处/信息化建设中心办理账户权限变更或注销手续,确保账户权限与实际工作职责相符。
(三)账户使用过程中如出现异常登录、功能故障等情况,用户应立即向设备处/信息化建设中心报告,设备处/信息化建设中心需及时进行核查处理。
第五条 账户注销
(一)用户离职、毕业或不再需要使用信息系统时,须办理账户注销手续,用户提交账户注销申请,经设备处/信息化建设中心审核后执行注销操作。
(二)注销账户前,信息化管理部门需对账户关联的数据、文件等进行备份归档,确保数据的完整性和可追溯性。
(三)对于长期未使用(连续12个月及以上)的休眠账户,设备处/信息化建设中心提前通知用户,逾期未激活的予以注销处理。
第三章 密码管理
第六条 密码设置
(一)密码不得低于10位;
(二)密码必须由字码(a-z,A-Z)、数字(0-9)、特殊字符(!@#¥%^&*)中的三种组成;
(三)密码必须每3个月更换一次,并且新密码不得与原密码相同。
第七条 信息系统密码设置应具备自动系统控制功能,具体如下:
(一)应用系统具备管控密码的有效期功能,通过功能设置,强行要求用户定期进行密码修改,减少密码被盗用的可能性;
(二)用户密码长度和编码规则强行要求用户密码符合长度和复杂性要求;
(三)系统控制第一次登录后必须更改初始密码;
(四)设置用户密码输入错误次数。在密码错误输入三次后,系统锁定登录用户,用户必须通知设备处/信息化建设中心进行解除锁定。
第八条 服务器、数据库、网络设备和系统须设置多级权限管理体系,最高权限管理员分配其他权限的密码,也需遵守本规定。
第九条 所有业务系统各类用户可自行修改密码。密码应妥善保管,不得公开或告知他人。如果遗忘,应及时联系设备处/信息化建设中心重新设置。
第十条 学校各类服务器管理员、系统数据库管理员和网络设备管理员密码应由双人执掌。
第十一条 以下情况的信息系统密码须尽快修改:
(一)规定的周期内,定期进行密码的变更;
(二)用户怀疑系统被破坏、被非法登录或者密码被公开;
(三)个人信息系统内置的与用户无关的账户,在账户责任人调离本岗位时,接替人员必须立即修改账户的密码,并检查系统中是否还存在其他同类用户;
(四)业务系统用户在首次登录系统时,必须及时更改密码。
第四章 安全责任与监督
第十二条 设备处/信息化建设中心负责信息系统账户与密码管理的制度制定、技术支持、安全监测及监督检查工作。
第十三条 用户对个人账户及密码的安全使用负直接责任,因账户或密码管理不当造成安全事故的,将追究相关人员责任。
第十四条 建立账户与密码安全审计机制,对账户登录日志、操作记录等进行定期审计,及时发现和处置安全隐患。
第五章 附 则
第十五条 本制度由设备处/信息化建设中心负责解释。
第十六条 本制度定自印发之日起执行。
