信息系統(tǒng)賬號(hào)、口令及權(quán)限管理辦法

　　第一章 總則

　　第一條 制度目標(biāo)：為了加強(qiáng)信息安全保障能力，建立健全安全管理體系，提高整體的網(wǎng)絡(luò)與信息安全水平，保證網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營，提高網(wǎng)絡(luò)服務(wù)質(zhì)量，在安全體系框架下，本制度為加強(qiáng)師生用戶對于系統(tǒng)賬號(hào)、口令及權(quán)限的安全管理，規(guī)范賬號(hào)、口令及權(quán)限的使用，降低由于濫用、越權(quán)等威脅帶來的風(fēng)險(xiǎn)。

　　第二條 適用范圍：本制度適用于TCP/IP網(wǎng)絡(luò)和所承載的業(yè)務(wù)系統(tǒng)。

　　第三條 使用人員及角色職責(zé)：本制度適用于涉及運(yùn)維的相關(guān)人員及使用IT 設(shè)備的師生用戶。

　　第二章 組織職責(zé)

　　第四條 師生用戶進(jìn)行賬號(hào)申請和審批應(yīng)首先由師生用戶所在部門負(fù)責(zé)初步審批，然后由運(yùn)維部門根據(jù)主管領(lǐng)導(dǎo)審批意見和師生用戶崗位，創(chuàng)建、變更和撤銷師生用戶的賬號(hào)及權(quán)限。

　　第五條 系統(tǒng)負(fù)責(zé)部門應(yīng)嚴(yán)格按照審批后的賬號(hào)、權(quán)限維護(hù)和管理系統(tǒng)，按要求生成、變更和刪除師生用戶賬號(hào)，并由信息安全工作組每季度進(jìn)行檢查。

　　運(yùn)維主管領(lǐng)導(dǎo)

　　第六條 負(fù)責(zé)帳號(hào)分配和權(quán)限審批工作。

　　安全管理員

　　第七條 負(fù)責(zé)所有系統(tǒng)及設(shè)備超級(jí)管理員帳號(hào)管理工作，一般是指所有計(jì)算機(jī)系統(tǒng)，包括包括主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、關(guān)鍵業(yè)務(wù)和辦公應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備及管理程序、網(wǎng)絡(luò)安全設(shè)備及管理程序、加密設(shè)備和管理程序的超級(jí)管理員帳號(hào)或有超級(jí)管理員權(quán)限的帳號(hào)。負(fù)責(zé)系統(tǒng)管理帳號(hào)的創(chuàng)建、初始(密碼)、變更(權(quán)限)、刪除、禁止等操作，對系統(tǒng)管理員帳號(hào)及其它普通用戶帳號(hào)的行為以及系統(tǒng)本身的安全性進(jìn)行審計(jì)和調(diào)查取證。

　　第八條 安全審計(jì)員

　　第九條 負(fù)責(zé)信息安全審計(jì)的日常工作;

　　第十條 負(fù)責(zé)組織、計(jì)劃定期的審計(jì)活動(dòng)。

　　系統(tǒng)管理員

　　第十一條 負(fù)責(zé)相關(guān)系統(tǒng)及設(shè)備管理的工作人員,包括：安全設(shè)備管理員、網(wǎng)絡(luò)管理員、主機(jī)系統(tǒng)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員。一般是指所有計(jì)算機(jī)系統(tǒng)，包括主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、關(guān)鍵業(yè)務(wù)和辦公應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備及管理程序、網(wǎng)絡(luò)安全設(shè)備及管理程序、加密設(shè)備和管理程序的有管理普通用戶和操作員帳號(hào)、設(shè)定普通用戶和操作員訪問許可、修改系統(tǒng)配置、安裝系統(tǒng)組件等權(quán)限的帳號(hào)。

　　第十二條

　　普通用戶

　　第十三條 擁有的有限操作權(quán)限的最終用戶，負(fù)責(zé)完成日常工作。

　　第十四條 普通用戶根據(jù)帳號(hào)管理辦法申請帳號(hào)，在帳號(hào)申請后，有義務(wù)保證帳號(hào)的安全，不能私自共享帳號(hào)。

　　第十五條 普通用戶對帳號(hào)的使用必需遵守帳號(hào)與口令管理的規(guī)定。

　　第三章 賬號(hào)管理規(guī)定

　　用戶賬戶的創(chuàng)建

　　第十六條 用戶賬號(hào)創(chuàng)建流程

　　1.普通用戶和操作員帳號(hào)由具體用戶向部門領(lǐng)導(dǎo)提出書面申請，然后交運(yùn)維安全主管領(lǐng)導(dǎo)核準(zhǔn)后，送交系統(tǒng)管理員具體實(shí)施帳號(hào)和密碼的初始化程序，并登記備查，然后通知有關(guān)用戶。

　　2.如果需要?jiǎng)?chuàng)建系統(tǒng)管理員帳號(hào)或是安全管理員帳號(hào)，則需要向安全管理員提出書面申請。經(jīng)核實(shí)批準(zhǔn)后，再由運(yùn)維安全主管領(lǐng)導(dǎo)授權(quán)，才能實(shí)施帳號(hào)和密碼的初始化程序，并登記備查。

　　3.所有的步驟(包括臨時(shí)權(quán)限的授予和取消步驟)，由系統(tǒng)的安全日志組件自動(dòng)記錄，安全審計(jì)員必須對相關(guān)帳號(hào)日志和帳號(hào)創(chuàng)建申請進(jìn)行定期(每月一次)安全審計(jì)。

　　用戶帳號(hào)創(chuàng)建的安全事宜

　　在創(chuàng)建用戶帳號(hào)時(shí)，必須遵循下列安全規(guī)定：

　　1.嚴(yán)格限制創(chuàng)建公用用戶帳號(hào)，且公用帳號(hào)不得具有訪問敏感信息以及“寫”和“執(zhí)行”的系統(tǒng)權(quán)限。

　　2.用戶帳號(hào)的權(quán)限設(shè)置應(yīng)遵循“最小需要知道”原則，即給用戶能完成工作的最小權(quán)限。

　　3.關(guān)閉任何缺省的匿名帳號(hào)。

　　4.系統(tǒng)開啟對用戶帳號(hào)、用戶權(quán)限和登錄管理的日志審計(jì)功能。

　　5.禁止使用空密碼或與用戶名相同的密碼，作為初始密碼。

　　6.系統(tǒng)管理員在通知用戶初始密碼時(shí)，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會(huì)被中途截取。

　　7.系統(tǒng)管理員必須強(qiáng)制用戶在第一次登錄時(shí)，修改其初始密碼。

　　8.嚴(yán)禁以任何明文形式傳遞和存放用戶的初始密碼。

　　9.因?yàn)轫?xiàng)目原因，需要?jiǎng)?chuàng)建臨時(shí)用戶帳號(hào)時(shí)，則由項(xiàng)目負(fù)責(zé)人向所屬臺(tái)室主管領(lǐng)導(dǎo)提出書面申請，經(jīng)由核準(zhǔn)后，再由系統(tǒng)管理員統(tǒng)一創(chuàng)建(臨時(shí)用戶帳號(hào)的密碼由項(xiàng)目負(fù)責(zé)人統(tǒng)一指定和保管);并且嚴(yán)禁在生產(chǎn)系統(tǒng)中創(chuàng)建臨時(shí)用戶或測試用戶。項(xiàng)目完成后，立即刪除所有臨時(shí)的用戶帳號(hào)。

　　第四章 口令、密碼管理

　　第十七條 口令、密碼設(shè)置標(biāo)準(zhǔn)

　　密碼類別 最小強(qiáng)度規(guī)定

　　安全管理員帳號(hào)密碼 最小密碼長度不小于10位

　　密碼中必須包含大寫字母、小寫字母、數(shù)字和其他特殊符號(hào)

　　和個(gè)人信息無關(guān)

　　最近20個(gè)密碼不得重復(fù)

　　安全審計(jì)員 最小密碼長度不小于10位

　　密碼中必須包含大寫字母、小寫字母、數(shù)字和其他特殊符號(hào)

　　和個(gè)人信息無關(guān)

　　最近20個(gè)密碼不得重復(fù)

　　系統(tǒng)管理員帳號(hào)密碼 最小密碼長度不小于8位

　　密碼中必須包含大寫字母、小寫字母和數(shù)字

　　和個(gè)人信息無關(guān)

　　最近10個(gè)密碼不得重復(fù)

　　普通用戶帳號(hào)密碼 最小密碼長度不小于8位

　　密碼中必須包含字母和數(shù)字

　　和個(gè)人信息無關(guān)

　　最近6個(gè)密碼不得重復(fù)

　　用戶帳號(hào)初始密碼 最小密碼長度不小于6位

　　密碼中必須包含字母和數(shù)字

　　和個(gè)人信息無關(guān)

　　最近6個(gè)密碼不得重復(fù)

　　第十八條 用戶賬戶和密碼保護(hù)

　　關(guān)于用戶帳號(hào)和密碼的保護(hù)，本管理制度做下列規(guī)定：

　　(一) 對于自動(dòng)生成密碼的系統(tǒng)，必須確保密碼生成算法的可靠性和安全性以及密碼生成“種子”的隨機(jī)性。

　　(二) 用戶嚴(yán)禁向任何人公開其本人或他人的帳號(hào)和密碼的全部或部分，特別是擁有管理員權(quán)限或超級(jí)管理員權(quán)限的用戶。

　　(三) 嚴(yán)禁以任何明文格式存儲(chǔ)帳號(hào)和密碼。

　　(四) 嚴(yán)禁通過公共網(wǎng)絡(luò)(例如，互聯(lián)網(wǎng)、公共電話網(wǎng)等)，以明文格式傳送帳號(hào)和密碼。

　　(五) 系統(tǒng)管理員必須設(shè)定用戶登錄嘗試的次數(shù)限制，對于信息安全管理員和系統(tǒng)管理員帳號(hào)，登錄嘗試次數(shù)為3次。對于普通用戶和系統(tǒng)操作員帳號(hào)，登錄嘗試次數(shù)為5次。一旦在一定時(shí)間內(nèi)使用同一個(gè)用戶帳號(hào)的失敗登錄超過限定次數(shù)，該帳號(hào)會(huì)被自動(dòng)禁止，直到系統(tǒng)管理員重新激活該用戶帳號(hào)。

　　(六) 系統(tǒng)管理員應(yīng)當(dāng)設(shè)定：在用戶成功登錄系統(tǒng)后，提示用戶上次登錄的情況(時(shí)間、登錄名和登錄成功與否等信息)。

　　(七) 系統(tǒng)管理員必須對存有用戶帳號(hào)和密碼的數(shù)據(jù)庫和注冊表進(jìn)行嚴(yán)格的訪問控制，嚴(yán)禁對其進(jìn)行任何遠(yuǎn)程訪問(只有信息安全管理員帳號(hào)才有“讀”的權(quán)限)。

　　(八) 系統(tǒng)管理員必須在系統(tǒng)正式啟用前，更改所有的系統(tǒng)缺省帳號(hào)的密碼，并禁止所有匿名帳號(hào)。

　　(九) 系統(tǒng)管理員或信息安全管理員在發(fā)現(xiàn)任何企圖非法使用某用戶帳號(hào)的情況時(shí)，必須強(qiáng)制該用戶更改密碼。

　　(十) 系統(tǒng)管理員必須定期檢查用戶帳號(hào)使用情況，如有用戶帳號(hào)在30天內(nèi)沒有使用，則有必要暫時(shí)禁止用戶帳號(hào)(系統(tǒng)管理員帳號(hào)和信息安全管理員帳號(hào)例外)。

　　(十一) 系統(tǒng)管理員必須強(qiáng)制設(shè)定用戶密碼不得為空，并且符合有關(guān)密碼強(qiáng)度規(guī)定。

　　(十二) 系統(tǒng)管理員必須開啟系統(tǒng)內(nèi)建的用戶帳號(hào)、用戶權(quán)限管理和登錄管理的審計(jì)功能，并對其生成的日志文件進(jìn)行妥善保管，以確保日志文件的安全性和完整性。

　　(十三) 安全審計(jì)員必須定期對用戶帳號(hào)和密碼的使用、變更、禁用、刪除相關(guān)的系統(tǒng)日志文件連同相關(guān)書面申請文件進(jìn)行安全審計(jì)(每月一次)，并對所有相關(guān)文件進(jìn)行記錄備案。

　　(十四) 系統(tǒng)管理員必須定期(每月一次)對用戶帳號(hào)進(jìn)行清查工作，及時(shí)刪除無用、無主的用戶帳號(hào)。

　　(十五) 嚴(yán)禁以任何理由，使用他人帳號(hào)或操作卡訪問計(jì)算機(jī)信息系統(tǒng)資源。

　　(十六) 嚴(yán)禁以任何方式獲取他人帳號(hào)和密碼。

　　(十七) 嚴(yán)禁在任何生產(chǎn)系統(tǒng)中創(chuàng)建臨時(shí)用戶或測試用戶帳號(hào)。

　　(十八) 對于生產(chǎn)機(jī)和主數(shù)據(jù)庫生產(chǎn)機(jī)的超級(jí)管理員密碼必須分為兩段，由信息安全管理員和相關(guān)的系統(tǒng)管理員二人分別掌管，二人同時(shí)在場方可實(shí)施本機(jī)登錄。

　　(十九) 系統(tǒng)管理員帳號(hào)和密碼，必須由安全管理員將其備份，經(jīng)安全密封后，存放在保險(xiǎn)柜中妥善保管;安全管理員帳號(hào)和密碼，必須由運(yùn)維安全主管領(lǐng)導(dǎo)將其備份，經(jīng)安全密封后，存放在保險(xiǎn)柜中妥善保管。

　　外部服務(wù)人員訪問申請表

　　申請單序號(hào)： 申請日期 年 月 日

　　申請人員 　 電話 　 訪問區(qū)域

　　出入時(shí)間 　 部門 　 部門領(lǐng)導(dǎo)簽字

　　指定陪同人員 機(jī)房管理員簽字

篇2：XX大學(xué)賬號(hào)口令及權(quán)限管理辦法

　　XX大學(xué)信息化建設(shè)與管理處

　　第一部分 網(wǎng)絡(luò)與信息安全規(guī)章制度

　　XX大學(xué)賬號(hào)、口令及權(quán)限管理辦法

　　第一章 總則

　　第一條 制度目標(biāo)：為了加強(qiáng)信息安全保障能力，建立健全安全管理體系，提高整體的網(wǎng)絡(luò)與信息安全水平，保證網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營，提高網(wǎng)絡(luò)服務(wù)質(zhì)量，在安全體系框架下，本制度為加強(qiáng)師生用戶對于系統(tǒng)賬號(hào)、口令及權(quán)限的安全管理，規(guī)范賬號(hào)、口令及權(quán)限的使用，降低由于濫用、越權(quán)等威脅帶來的風(fēng)險(xiǎn)。

　　第二條 適用范圍：本制度適用于TCP/IP網(wǎng)絡(luò)和所承載的業(yè)務(wù)系統(tǒng)。

　　第三條 使用人員及角色職責(zé)：本制度適用于涉及運(yùn)維的相關(guān)人員及使用IT 設(shè)備的師生用戶。

　　第二章 組織職責(zé)

　　第四條 師生用戶進(jìn)行賬號(hào)申請和審批應(yīng)首先由師生用戶所在部門負(fù)責(zé)初步審批，然后由運(yùn)維部門根據(jù)主管領(lǐng)導(dǎo)審批意見和師生用戶崗位，創(chuàng)建、變更和撤銷師生用戶的賬號(hào)及權(quán)限。

　　第五條 系統(tǒng)負(fù)責(zé)部門應(yīng)嚴(yán)格按照審批后的賬號(hào)、權(quán)限維護(hù)和管理系統(tǒng)，按要求生成、變更和刪除師生用戶賬號(hào)，并由信息安全工作組每季度進(jìn)行檢查。

　　第六條 運(yùn)維主管領(lǐng)導(dǎo) 負(fù)責(zé)帳號(hào)分配和權(quán)限審批工作。

　　第七條 安全管理員負(fù)責(zé)所有系統(tǒng)及設(shè)備超級(jí)管理員帳號(hào)管理工作，一般是指所有計(jì)算機(jī)系統(tǒng)，包括包括主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、關(guān)鍵業(yè)務(wù)和辦公應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備及管理程序、網(wǎng)絡(luò)安全設(shè)備及管理程序、加密設(shè)備和管理程序的超級(jí)管理員帳號(hào)或有超級(jí)管理員權(quán)限的帳號(hào)。負(fù)責(zé)系統(tǒng)管理帳號(hào)的創(chuàng)建、初始(密碼)、變更(權(quán)限)、刪除、禁止等操作，對系統(tǒng)管理員帳號(hào)及其它普通用戶帳號(hào)的行為以及系統(tǒng)本身的安全性進(jìn)行審計(jì)和調(diào)查取證。

　　第八條 安全審計(jì)員負(fù)責(zé)信息安全審計(jì)的日常工作;負(fù)責(zé)組織、計(jì)劃定期的審計(jì)活動(dòng)。

　　第九條 系統(tǒng)管理員負(fù)責(zé)相關(guān)系統(tǒng)及設(shè)備管理的工作人員,包括：安全設(shè)備管理員、網(wǎng)絡(luò)管理員、主機(jī)系統(tǒng)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員。一般是指所有計(jì)算機(jī)系統(tǒng)，包括主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、關(guān)鍵業(yè)務(wù)和辦公應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備及管理程序、網(wǎng)絡(luò)安全設(shè)備及管理程序、加密設(shè)備和管理程序的有管理普通用戶和操作員帳號(hào)、設(shè)定普通用戶和操作員訪問許可、修改系統(tǒng)配置、安裝系統(tǒng)組件等權(quán)限的帳號(hào)。

　　第十條 普通用戶擁有的有限操作權(quán)限的最終用戶，負(fù)責(zé)完成日常工作。普通用戶根據(jù)帳號(hào)管理辦法申請帳號(hào)，在帳號(hào)申請后，有義務(wù)保證帳號(hào)的安全，不能私自共享帳號(hào)。普通用戶對帳號(hào)的使用必需遵守帳號(hào)與口令管理的規(guī)定。

　　第三章 賬號(hào)管理規(guī)定

　　第十一條 用戶賬戶的創(chuàng)建

　　第十二條 用戶賬號(hào)創(chuàng)建流程

　　1. 普通用戶和操作員帳號(hào)由具體用戶向部門領(lǐng)導(dǎo)提出書面申請，然后交運(yùn)維安全主管領(lǐng)導(dǎo)核準(zhǔn)后，送交系統(tǒng)管理員具體實(shí)施帳號(hào)和密碼的初始化程序，并登記備查，然后通知有關(guān)用戶。

　　2. 如果需要?jiǎng)?chuàng)建系統(tǒng)管理員帳號(hào)或是安全管理員帳號(hào)，則需要向安全管理員提出書面申請。經(jīng)核實(shí)批準(zhǔn)后，再由運(yùn)維安全主管領(lǐng)導(dǎo)授權(quán)，才能實(shí)施帳號(hào)和密碼的初始化程序，并登記備查。

　　3. 所有的步驟(包括臨時(shí)權(quán)限的授予和取消步驟)，由系統(tǒng)的安全日志組件自動(dòng)記錄，安全審計(jì)員必須對相關(guān)帳號(hào)日志和帳號(hào)創(chuàng)建申請進(jìn)行定期(每月一次)安全審計(jì)。

　　第十三條 用戶帳號(hào)創(chuàng)建的安全事宜

　　在創(chuàng)建用戶帳號(hào)時(shí)，必須遵循下列安全規(guī)定：

　　1. 嚴(yán)格限制創(chuàng)建公用用戶帳號(hào)，且公用帳號(hào)不得具有訪問敏感信息以及“寫”和“執(zhí)行”的系統(tǒng)權(quán)限。

　　2. 用戶帳號(hào)的權(quán)限設(shè)置應(yīng)遵循“最小需要知道”原則，即給用戶能完成工作的最小權(quán)限。

　　3. 關(guān)閉任何缺省的匿名帳號(hào)。

　　4. 系統(tǒng)開啟對用戶帳號(hào)、用戶權(quán)限和登錄管理的日志審計(jì)功能。

　　5. 禁止使用空密碼或與用戶名相同的密碼，作為初始密碼。

　　6. 系統(tǒng)管理員在通知用戶初始密碼時(shí)，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會(huì)被中途截取。

　　7. 系統(tǒng)管理員必須強(qiáng)制用戶在第一次登錄時(shí)，修改其初始密碼。

　　8. 嚴(yán)禁以任何明文形式傳遞和存放用戶的初始密碼。

　　9. 因?yàn)轫?xiàng)目原因，需要?jiǎng)?chuàng)建臨時(shí)用戶帳號(hào)時(shí)，則由項(xiàng)目負(fù)責(zé)人向所屬臺(tái)室主管領(lǐng)導(dǎo)提出書面申請，經(jīng)由核準(zhǔn)后，再由系統(tǒng)管理員統(tǒng)一創(chuàng)建(臨時(shí)用戶帳號(hào)的密碼由項(xiàng)目負(fù)責(zé)人統(tǒng)一指定和保管);并且嚴(yán)禁在生產(chǎn)系統(tǒng)中創(chuàng)建臨時(shí)用戶或測試用戶。項(xiàng)目完成后，立即刪除所有臨時(shí)的用戶帳號(hào)。

　　第四章 口令、密碼管理

　　第十四條 口令、密碼設(shè)置標(biāo)準(zhǔn)

　　密碼類別 最小強(qiáng)度規(guī)定

　　安全管理員帳號(hào)密碼 最小密碼長度不小于10位

　　密碼中必須包含大寫字母、小寫字母、數(shù)字和其他特殊符號(hào)

　　和個(gè)人信息無關(guān)

　　最近20個(gè)密碼不得重復(fù)

　　安全審計(jì)員 最小密碼長度不小于10位

　　密碼中必須包含大寫字母、小寫字母、數(shù)字和其他特殊符號(hào)

　　和個(gè)人信息無關(guān)

　　最近20個(gè)密碼不得重復(fù)

　　系統(tǒng)管理員帳號(hào)密碼 最小密碼長度不小于8位

　　密碼中必須包含大寫字母、小寫字母和數(shù)字

　　和個(gè)人信息無關(guān)

　　最近10個(gè)密碼不得重復(fù)

　　普通用戶帳號(hào)密碼 最小密碼長度不小于8位

　　密碼中必須包含字母和數(shù)字

　　和個(gè)人信息無關(guān)

　　最近6個(gè)密碼不得重復(fù)

　　用戶帳號(hào)初始密碼 最小密碼長度不小于6位

　　密碼中必須包含字母和數(shù)字

　　和個(gè)人信息無關(guān)

　　最近6個(gè)密碼不得重復(fù)

　　第十五條 用戶賬戶和密碼保護(hù)

　　關(guān)于用戶帳號(hào)和密碼的保護(hù)，本管理制度做下列規(guī)定：

　　? 對于自動(dòng)生成密碼的系統(tǒng)，必須確保密碼生成算法的可靠性和安全性以及密碼生成“種子”的隨機(jī)性。

　　? 用戶嚴(yán)禁向任何人公開其本人或他人的帳號(hào)和密碼的全部或部分，特別是擁有管理員權(quán)限或超級(jí)管理員權(quán)限的用戶。

　　? 嚴(yán)禁以任何明文格式存儲(chǔ)帳號(hào)和密碼。

　　? 嚴(yán)禁通過公共網(wǎng)絡(luò)(例如，互聯(lián)網(wǎng)、公共電話網(wǎng)等)，以明文格式傳送帳號(hào)和密碼。

　　? 系統(tǒng)管理員必須設(shè)定用戶登錄嘗試的次數(shù)限制，對于信息安全管理員和系統(tǒng)管理員帳號(hào)，登錄嘗試次數(shù)為3次。對于普通用戶和系統(tǒng)操作員帳號(hào)，登錄嘗試次數(shù)為5次。一旦在一定時(shí)間內(nèi)使用同一個(gè)用戶帳號(hào)的失敗登錄超過限定次數(shù)，該帳號(hào)會(huì)被自動(dòng)禁止，直到系統(tǒng)管理員重新激活該用戶帳號(hào)。

　　第十六條 系統(tǒng)管理員應(yīng)當(dāng)設(shè)定：在用戶成功登錄系統(tǒng)后，提示用戶上次登錄的情況(時(shí)間、登錄名和登錄成功與否等信息)。

　　第十七條 系統(tǒng)管理員必須對存有用戶帳號(hào)和密碼的數(shù)據(jù)庫和注冊表進(jìn)行嚴(yán)格的訪問控制，嚴(yán)禁對其進(jìn)行任何遠(yuǎn)程訪問(只有信息安全管理員帳號(hào)才有“讀”的權(quán)限)。

　　第十八條 系統(tǒng)管理員必須在系統(tǒng)正式啟用前，更改所有的系統(tǒng)缺省帳號(hào)的密碼，并禁止所有匿名帳號(hào)。

　　第十九條 系統(tǒng)管理員或信息安全管理員在發(fā)現(xiàn)任何企圖非法使用某用戶帳號(hào)的情況時(shí)，必須強(qiáng)制該用戶更改密碼。

　　第二十條 系統(tǒng)管理員必須定期檢查用戶帳號(hào)使用情況，如有用戶帳號(hào)在30天內(nèi)沒有使用，則有必要暫時(shí)禁止用戶帳號(hào)(系統(tǒng)管理員帳號(hào)和信息安全管理員帳號(hào)例外)。

　　第二十一條 系統(tǒng)管理員必須強(qiáng)制設(shè)定用戶密碼不得為空，并且符合有關(guān)密碼強(qiáng)度規(guī)定。

　　第二十二條 系統(tǒng)管理員必須開啟系統(tǒng)內(nèi)建的用戶帳號(hào)、用戶權(quán)限管理和登錄管理的審計(jì)功能，并對其生成的日志文件進(jìn)行妥善保管，以確保日志文件的安全性和完整性。

　　第二十三條 安全審計(jì)員必須定期對用戶帳號(hào)和密碼的使用、變更、禁用、刪除相關(guān)的系統(tǒng)日志文件連同相關(guān)書面申請文件進(jìn)行安全審計(jì)(每月一次)，并對所有相關(guān)文件進(jìn)行記錄備案。

　　第二十四條 系統(tǒng)管理員必須定期(每月一次)對用戶帳號(hào)進(jìn)行清查工作，及時(shí)刪除無用、無主的用戶帳號(hào)。

　　第二十五條 嚴(yán)禁以任何理由，使用他人帳號(hào)或操作卡訪問計(jì)算機(jī)信息系統(tǒng)資源。

　　第二十六條 嚴(yán)禁以任何方式獲取他人帳號(hào)和密碼。

　　第二十七條 嚴(yán)禁在任何生產(chǎn)系統(tǒng)中創(chuàng)建臨時(shí)用戶或測試用戶帳號(hào)。

　　第二十八條 對于生產(chǎn)機(jī)和主數(shù)據(jù)庫生產(chǎn)機(jī)的超級(jí)管理員密碼必須分為兩段，由信息安全管理員和相關(guān)的系統(tǒng)管理員二人分別掌管，二人同時(shí)在場方可實(shí)施本機(jī)登錄。

　　第二十九條 系統(tǒng)管理員帳號(hào)和密碼，必須由安全管理員將其備份，經(jīng)安全密封后，存放在保險(xiǎn)柜中妥善保管;安全管理員帳號(hào)和密碼，必須由運(yùn)維安全主管領(lǐng)導(dǎo)將其備份，經(jīng)安全密封后，存放在保險(xiǎn)柜中妥善保管。