中国石油天然气集团公司企业标准
Q/SY 1346-2010
信息系统用户管理规范
Specifications for information system user management
2010-05-25发布
2010一08一01实施
中国石油天然气集团公司 发布 目 次
前言
1
范围 2 规范性引用文件 3 术语和定义
1
信息系统用户登记管理
4
5 信息系统用户变更管理 6 信息系统用户管理
信息系统管理员管理参考文献·
1 前 言
本标准是中国石油天然气集团公司信息技术专业安全系列企业标准之一，信息技术专业安全系列企业标准共6项标准，另外5项标准是：
Q/SY1341—2010《信息系统安全管理规范》； Q/SY1342一2010《终端计算机安全管理规范》； Q/SY1343—2010《信息安全风险评估实施指南》； -Q/SY1344—2010《信息系统密码安全管理规范》； -Q/SY1345一2010《计算机病毒与网络入侵应急响应管理规范》。
本标准由中国石油天然气集团公司信息技术专业标准化技术委员会提出并归口。 本标准起草单位：中国石油勘探开发研究院。 本标准主要起草人：靖小伟、杨志贤、冯梅、刘建兵、王峰、滕征岑、王春伟、刘磊、宋佳佳、
侯志刚、王浩、郭力波、尹文海、魏程昭。 信息系统用户管理规范
1范围
本标准给出了信息系统用户登记管理、用户变更管理方法，规定了信息系统用户、信息系统管理员应遵守的要求。
本标准适用于中国石油天然气集团公司（以下简称“中国石油”）总部及所属各企事业单位所有非涉密信息系统用户管理。 2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。
Q/SY1344一2010信息系统密码安全管理规范 3术语和定义
下列术语和定义适用于本标准。
3.1
信息系统information system 由计算机及其相关的配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进
行采集、加工、存储、传输、检索等处理的人机系统
[GB/Z20986—2007，定义2.1]
3.2
信息系统用户informationsystemuser 使用信息系统一项或多项服务，获得业务、事务处理、获得相关信息的人。
3.3
信息系统管理员administratoraccount 对信息系统进行管理与维护，保障信息系统正常运行的人员。
4信息系统用户登记管理 4.1相关管理部门应对信息系统用户实行登记管理，应对使用本系统的用户进行登记，记录内容应包括：用户姓名、用户身份证号码、所属单位、所属部门、岗位、用户联系方式、使用权限。 4.2相应管理部门应根据信息系统用户登记的信息，确认该用户有权使用的信息系统服务种类、内容及权限，并协同相关部门授予信息系统用户权限。 4.3信息系统管理部门为用户分配权限时，对于有职责分离要求的信息系统，应遵循内控有关要求，确保职责分离。 5信息系统用户变更管理 5.1信息系统管理部门应定期核实信息系统用户的变动情况，变更用户权限，保证信息系统的合规使用。 5.2因工作变动或其他原因不再使用信息系统的用户，应予以停用，信息系统管理部门应取消该用户相应的使用权限。 5.3各级信息系统管理部门应根据上级信息管理部门的要求，统计、汇总信息系统用户信息，建立信息系统用户数据库。
6信息系统用户管理 6.1信息系统用户不应利用信息系统危害国家安全、泄露国家和企业秘密，不应侵犯国家、社会、 集体的利益和公民的合法权益，不应从事违法犯罪活动。 6.2信息系统用户不应使用信息系统制造、传播违反国家法律、法规的内容。 6.3信息系统用户不应通过信息系统获得、存储、复制、传播暴力和色情信息。 6.4信息系统用户不应将工作涉及的信息系统有关数据及信息泄露给其他与工作无关的用户、组织和个人，不应将保密信息发布到互联网。 6.5信息系统用户不应使用如QQ，MSN等即时通讯工具通过因特网传输与工作相关的数据、文件信息。 6.67 信息系统用户不应使用局域网络传输共享数据和重要文件。 6.7 信息系统用户不应窥探、窃取、删除、更改其他用户使用的数据及信息 6.8 信息系统用户不应使用信息系统进行股票、债券、期货等个人金融交易活动。 6.9 信息系统用户不应使用信息系统开展电子游戏、视频、语音娱乐等与业务无关的活动。 6.10 信息系统用户应使用正版软件，不应使用盗版软件或版权不明确的软件。 6.11 信息系统用户应在其使用的计算机进行系统安全补丁、更新。 6.12 信息系统用户不应制作和传播计算机病毒等破坏性程序。 6.13 信息系统用户应在其使用的计算机上安装防病毒软件，并更新病毒定义文件。 6.14 信息系统用户使用的登录密码应满足：
a）密码长度不少于12位； b）密码包含数字； c）密码包含大小写字母； d）密码包含非字母字符； e）密码应90天更换一次。
6.15信息系统用户应参加由信息系统管理部门组织的培训活动。 6.16信息系统用户不应将使用的账户私自转借、转让给其他用户使用，由于私自转借、转让账户造成违规的，账户所有者负全部责任。
信息系统管理员管理 7.1 信息系统管理员用户应按第6章的要求执行，遵守国家及企业保密要求，安装防病毒软件。 7.2未经相关管理部门许可，信息系统管理员不应新建、删除信息系统登录账户。 7.3未经相关管理部门许可，信息系统管理员不应更改信息系统用户的权限。 7.4未经相关管理部门许可，信息系统管理员不应增加、删除、修改信息系统功能。 7.5信息系统管理员不应私自查看、复制、传输系统内的数据及信息，不应删除、修改信息系统日志、报警信息。 7.6信息系统管理员应按要求对信息系统中的数据定期进行备份。 7.7信息系统管理员发现信息系统用户违规使用信息系统行为时，应立即向信息系统管理部门报告。 7.8信息系统管理员发现信息系统存在安全隐患时，应立即向信息系统管理部门报告 7.9信息系统管理员用户应按Q/SY1344一2010中第4章、第5章要求生成密码并对密码的使用进行管理。
7 Q/SY13462010
参考文献
［1］GB/Z20986—2007信息安全技术信息安全事件分类分级指南 [2]］中华人民共和国计算机病毒防治管理办法中华人民共和国公安部令第51号令 [3］中华人民共和国计算机信息系统安全保护条例中华人民共和国国务院令147号［4］中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国国务院令第195号 [5］中华人民共和国计算机信息网络国际互联网安全保护管理办法中华人民共和国公安部发布 10
/
中国石油天然气集团公司
企业标准
信息系统用户管理规范 Q/SY1346—2010
石油工业出版社出版（北京安定门外安华里二区一号楼）石油工业出版社印刷厂排版印刷
（内部发行）
*
880×1230毫米16开本0.5印张13千字印1001—2500 2010年7月北京第1版2011年11月北京第2次印刷
书号：155021·16887定价：6.00元
版权专有不得翻印