Q/SY
中国石油天然气集团公司企业标准
Q/SY 1611—2013
信息系统账号管理规范
Specifications for information system account management
2013－10-01实施
2013一07一23发布
中国石油天然气集团公司 发布 Q/SY 1611—2013
目 次
前言· 引言
1
范围 2规范性引用文件 3术语和定义 4　信息系统账号管理· 附录A（规范性附录） 用户账号服务申请环节表单附录B（规范性附录） 外部用户账号服务申请环节表单参考文献·················································································
...
.... Q/SY 1611—2013
前 言
本标准是中国石油天然气集团公司信息技术专业安全系列企业标准之一，信息技术专业安全系列企业标准共七项标准，另外六项是：
Q/SY1341—2010《信息系统安全管理规范》； Q/SY1342—2010《终端计算机安全管理规范》； -Q/SY1343—2010《信息安全风险评估实施指南》； Q/SY1344—2010《信息系统密码安全管理规范》； Q/SY1345—2010《计算机病毒与网络侵应急响应管理规范》： Q/SY1346一2010《信息系统用户管理规范》。
-
本标准按照GB/T1.1一2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。
本标准由中国石油天然气集团公司信息管理部提出。 本标准由中国石油天然气集团公司标准化委员会信息技术专业标准化技术委员会归口。 本标准起草单位：北京中油瑞飞信息技术有限责任公司。 本标准起草人：靖小伟、杨志贤、张志伟、黄晟、吕增江、靳黎明、崔广印、鲍磊、万进、金
一、冯胜、李丽。
II Q/SY 1611—2013
引言
随着中国石油信息化建设的不断深人，中国石油的信息系统数量不断增加，各企事业单位出于业务需要也建设了大量的应用系统，但各系统尚无统一的账号命名规范，账号管理流程也存在较大差异，各信息系统账号未与实体人员进行对应，不利于规范管理。
信息系统账号管理是信息系统安全管理工作中的重要环节，本标准围绕信息系统账号的申请、变更和注销等流程，结合中国石油身份管理与认证服务平台（以下简称“身份管理与认证服务平台”，此平台是一个用于管理中国石油信息系统用户身份和提供数字证书强认证的信息安全系统）给出信息系统账号管理规范。本标准的制定将有利于中国石油信息系统账号的有序管理，提高信息系统的安全级别和账号管理的工作效率，降低信息系统账号全生命周期管理中的安全风险。
Ⅲ Q/SY 1611—2013
信息系统账号管理规范
1范围
本标准制定了中国石油信息系统账号实名制管理要求以及账号申请、变更和注销的管理规范，规定了信息系统用户所属单位、信息系统管理部门、信息系统账号管理员和信息系统用户应遵守的要求。
本标准适用于中国石油天然气集团公司（以下简称“中国石油”）总部及所属企事业单位办公内网信息系统账号管理。
规范性引用文件
2
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件
Q/SY 1346—2010↑ 信息系统用户管理规范 Q/SY1550—2012　数字证书管理规范
3 术语和定义
下列术语和定义适用于本文件。
3.1
信息系统information system 由计算机及其相关的配套设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行
采集、加工、存储、传输、检索等处理的人机系统。
[Q/SY 1346—2010，定义3.1]
3. 2
信息系统用户 information system user 使用信息系统一项或多项服务，亲 获得业务、事务处理、获得相关信息的人。 ［Q/SY 1346—2010，定义3.2]
3. 3
信息系统账号 information system account 用于登录信息系统的唯一标识。
3. 4
信息系统账号管理员 information system account administrator 对信息系统账号信息进行维护和管理的人员。 数字证书 digital certificate 又称为证书，是由证书认证系统签名的包含公开密钥、公开密钥拥有者信息、签发者信息、有效
3. 5
期以及扩展信息的数字文件。
1 Q/SY 1611-2013
[Q/SY 1550—2012，定义2.4]
3. 6
USBKey 是一种USB接口的硬件设备，可以存储用户的私钥以及数字证书，利用其内置的公钥算法实现
对用户身份的认证，保证用户认证的安全性，
[Q/SY1550—2012，定义2.8] 实名制 real name 在办理信息系统账号相关业务时，需要提供有效的能证明个人身份的证件或资料，并填写真实
3. 7
姓名。 3. 8
外部用户 external users 基本信息不在中国石油人力资源系统中，且该用户需要通过中国石油身份管理与认证服务平台访
问中国石油信息系统的人员。
4信息系统账号管理
4.1信息系统账号实名制管理 4.1.1信息系统管理部门应对信息系统账号实行实名制管理，对信息系统用户身份进行实名制认证 4.1.2中国石油USBKey数字证书是信息系统用户在中国石油唯一正式的电子身份标识，用户的信息系统账号应与用户所持有的中国石油USBKey数字证书实现对应。 4.1.3已和身份管理与认证服务平台集成的信息系统用户，应持中国石油USBKey数字证书通过身份管理与认证服务平台访问信息系统。 4.1.4中国石油USBKey数字证书应由持有者本人在终端设备上使用；在不使用时，应将USBKey 从终端设备中拔出，并妥善保管 4.2信息系统账号管理制定规范 4.2.1信息系统管理部门应按业务部门要求制定信息系统账号实名制管理流程，包括账号的新增变更、注销等。
信息系统账号管理流程应至少包含一级审批。
4. 2. 2 4.2.3信息系统账号管理流程应在身份管理与认证服务平台以电子流程的方式实现。
4.2.4各信息系统账号管理员应在身份管理与认证服务平台内提交账号管理请求，经审批后，由身份管理与认证服务平台自动将账号管理操作结果同步到应用系统，完成电子化账号管理操作。 4.2.5信息系统账号管理流程调整前应得到业务部门批准，并在身份管理与认证服务平台内进行调整。 4.3信息系统账号命名规则 4.3.1信息系统账号命名原则：
a）账号的命名应遵守国家相关法律、法规和政策。 b） 账号名不应侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益
如 IBM，Microsoft 等, c） 账号名中不应使用社会中已经广泛使用的专有词汇，如CHINA，CNPC等 d）不应使用不文明、不道德的词汇作为账号名。
2 Q/SY 1611—2013
e) 账号名应使用英文26个字母、阿拉伯数字0～9和特殊符号的组合，账号名长度为4～16个
字符（包括4个和16个字符）。
4. 3. 2 信息系统账号命名规则：
账号名应使用本人真实姓名的汉语拼音组合。 姓部分的汉语拼音全拼名部分汉语拼音第一个字母。 例如：张三丰，zhangsf。 如按以上规则出现重复账号名，则账号名的前两个中文字使用汉语拼音全拼。依此类推，直
?
b)
c
至用户的简称不出现重名。 例如：张三丰，zhangsanf，zhangsanfeng 如按以上规则出现重复账号名时，则姓氏使用汉语拼音的第一个字母，第二个字母使用汉
d）
语拼音全称，依此类推。 例如：张三丰，zsanf，zsanfeng 如果使用以上规则后仍出现重名，则使用在账号名后加三位数字的方式解决，直至用户的简称不再出现重名为止，例如：张三丰，zhangsf001，zhangsf002。
e)
4.3.3外籍员工可使用英文名作为信息系统账号名称，当出现重名时，使用4.3.2e）中的规定。 4.4信息系统账号申请管理 4.4.1信息系统管理和使用部门应对信息系统账号采取实名制管理，信息系统用户在申请账号时应填写表A.1，并至少提供用户姓名、身份证号码、所属单位、所属部门、岗位及联系方式等基本信息。 4.4.2信息系统账号管理员应核实用户身份信息，并在身份管理与认证服务平台对该用户进行信息系统账号申请操作。 4.4.3　信息系统用户在同一个信息系统中只能申请一个账号。 4.4.4信息系统用户在访问信息系统时，需确保已完成中国石油USBKey的申请 4. 4. 5 信息系统用户不得以任何形式将中国石油USBKey数字证书转借他人使用。 4.4.6信息系统账号管理员和用户应对信息系统账号信息进行保密，不得泄露或告知他人。 4.5信息系统账号变更管理 4.5.1暂不使用信息系统的用户，应由用户或主管领导或信息系统账号管理员申请账号停用，并填写表A.1，信息系统账号管理员应根据申请信息，在身份管理与认证服务平台内对账号进行停用操作。 4.5.2需要恢复使用信息系统的用户，应申请账号启用，信息系统账号管理员应根据申请信息，在身份管理与认证服务平台内对账号进行启用操作。 4.5.3对于可能或已导致信息安全事件发生的账号，应由信息系统账号管理员在身份管理与认证服务平台内定位到责任人，及时对账号进行停用操作，并上报主管部门。 4.5.4　信息系统管理部门应定期对信息系统账号及其账号所有者进行一致性检查，对于信息系统账号与所有者信息不符的，应及时进行处理。 4.6信息系统账号注销管理 4.6.1不再使用信息系统账号的用户，应由用户或主管领导或信息系统账号管理员申请账号注销，并填写表A.1，信息系统账号管理员根据申请信息，在身份管理与认证服务平台内对账号进行注销操作。
3 Q/SY 1611—2013 4.6.2信息系统管理部门应定期在身份管理与认证服务平台内对无效账号进行注销操作。 4.7信息系统外部用户账号管理 4.7.1信息系统管理和使用部门应对信息系统外部用户账号采取实名制管理，外部用户在申请账号时应填写表B.1，并至少提供用户姓名、身份证号码、所属单位、所属部门、岗位、联系方式、申请原因及账号有效期限等信息。 4.7.2外部用户账号应由基本信息存在于中国石油人力资源系统中的人员（以下简称“申请人”）提出申请，并应在申请时提供申请人的姓名、身份证号码、所属单位、所属部门、岗位及联系方式等基本信息。 4. 7. 3 外部用户账号使用期满时，信息系统账号管理员应在身份管理与认证服务平台内对账号进行停用或注销操作，并应根据工作需要，由申请人通知本单位数字证书管理员吊销外部用户的数字证书并回收USBKey。
4