内容简介
Q/SY中国石油天然气集团有限公司企业标准
Q/SY 10346—2021
代替Q/SY10346—2019,Q/SY10344—2019,Q/SY10611—2018
信息系统用户管理规范 Specifications for information system user management
2021-11-15实施
2021—09—07发布
发布
中国石油天然气集团有限公司 Q/SY 10346—2021
目 次
前言
范围 2 规范性引用文件 3 术语和定义缩略语
4.
信息系统用户管理
5
-
5.1信息系统角色划分 5.2 信息系统用户登记管理 5.3 信息系统用户变更管理 5.4 信息系统用户管理管理员用户职责
6
6.1 信息系统管理员 6.2 信息系统账号管理员 6.3 信息系统密码管理员信息系统用户账号管理 7.1 认证 7.2 权限 7.3 命名 7.4 生命周期信息系统密码管理
8
8.1 生成规则 8.2 生命周期管理 8.3 身份令牌管理附录A(资料性) 系统密码及身份令牌统计表参考文献 Q/SY10346—2021
前言
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的
规定起草。
本文件代替Q/SY10346—2019《信息系统用户管理规范》。Q/SY10344—2019《信息系统密码安全管理规范》和Q/SY10611—2018《信息系统账号管理规范》,与Q/SY103462019相比,除结构调整和编辑性改动外,主要技术变化如下:
a)删除了“信息系统用户登记管理”(见2019年版的第4章); b)删除了“信息系统用户变更管理”(见2019年版的第5章): c)更改了“信息系统用户管理”(见第5章,2019年版的第6章): d)删除了“信息系统管理员管理”(见2019年版的第7章): e)增加了“信息系统用户账号管理”(见第7章): f)增加了“系统密码及身份令牌统计表”(见附录A)。 本文件由数字与信息化管理部提出。 本文件由中国石油天然气集团有限公司标雅化委员会信息技术专业标准化技术委员会归口。 本文件起草单位:数字与信息化管理部。勘探开发研究院。昆仑数智科技公司。新疆油田分公司。 本文件主要起草人:冯梅、靖小伟。高允升、李青、魏萍、王勇、刘亚玮、陆佳妮,胡静、董之光
柏东明,谷海生,方静,陈曦,贾文清,何婷婷。
本文件及其所代替文件的历次版本发布情况为:
2010年首次发布为Q/SY1346—2010,2019年标准号变更为Q/SY10346—2019: 2010年首次发布为Q/SY1344—2010,2019年标准号变更为Q/SY10344—2019: 2013年首次发布为Q/SY16112013,2018年标准号变更为Q/SY106112018:一本次为第一次整合三个标准修订。
II Q/SY10346—2021
信息系统用户管理规范
1范围
本文件规定了信息系统用户管理、管理员用户职责、账号管理、密码管理的要求。 本文件适用于所有非涉密信息系统的用户管理。
2规范性引用文件
本文件没有规范性引用文件
3术语和定义
下列术语和定义适用于本文件
3.1
信息系统用户information system user 包括使用信息系统服务完成业务操作和具有信息系统管理职能的用户。
3.2
管理员用户administrator user 具有信息系统管理职能的用户。
3.3
信息系统管理员 information system administrator 对信息系统进行管理与维护,保障信息系统正常运行的人员。
3.4
信息系统账号管理员 information system account administrator 对信息系统账号信息进行维护和管理的人员
3.5
信息系统密码管理员 information system password administrator 对信息系统密码管理与监督的人员。
3.6
初始密码 preset password 用户首次登录信息系统的临时密码。
3.7
身份令牌 identity token 用于验证使用者身份合法性的安全认证设备,包括令牌卡,口含卡、USBKey、智能卡等设备。
4 缩略语
下列缩略语适用于本文件。 Q/SY 10346—2021
WEP:有线等效保密协议(wiredequivalentprivacy) AP:无线访问接人点(wirelessaccesspoint)
5信息系统用户管理 5.1信息系统角色划分 5.1.1信息系统用户包括普通用户(仅在信息系统内完成业务操作的人员)和管理员用户。 5.1.2管理员用户包括信息系统管理员、信息系统账号管理员、信息系统密码管理员等。 5.2信息系统用户登记管理 5.2.1相关管理部门应对信息系统用户实行登记管理,记录内容应包括信息系统用户身份信息,所属部门、联系方式和使用权限等。 5.2.2用户信息未存放在中国石油人力资源系统的人员(以下简称外部用户),由基本信息存在于中国石油人力资源系统中的人员(以下简称申请人)负责提出申请。 5.2.3外部用户使用期满时,信息系统账号管理员应在身份管理与认证服务平台内对账号进行停用或注销操作。并应根据工作需要,由申请人通知本单位数字证书管理员吊销外部用户的数字证书并回收 USBKey。 5.2.4相应管理部门应根据信息系统用户登记的信息,确认该用户有权使用的信息系统服务种类,内容及权限,并协同相关部门授予信息系统用户权限。 5.2.5信息系统管理部门为用户分配权限时,对于有职责分离要求的信息系统,应遵循内控有关要求。确保职责分离。 5.3信息系统用户变更管理 5.3.1信息系统管理部门应定期核实信息系统用户的变动情况,变更用户权限,保证信息系统的合规使用。 5.3.2因工作变动或其他原因不再使用信息系统的用户,应予以停用。信息系统管理部门应取消该用户相应的使用权限。 5.3.3各级信息系统管理部门应根据上级信息管理部门的要求,统计、汇总信息系统用户信息,建立信息系统用户数据库。 5.4信息系统用户管理 5.4.1信息系统用户不应通过信息系统获得、存储、复制。传播暴力和色情信息。 5.4.2信息系统用户不应将工作涉及的信息系统有关数据及信息泄露给其他与工作无关的用户、组织和个人:不应将保密信息发布到互联网。 5.4.3信息系统用户不应使用如QQ、微信,MSN等社交软件通过因特网传输与工作相关的数据,文件信息。 5.4.4信息系统用户不应使用局域网络传输共享数据和重要文件。 5.4.5信息系统用户不应窥探、窃取、删除、更改其他用户使用的数据及信息。 5.4.6信息系统用户不应使用信息系统进行股票。债券、期货等个人金融交易活动 5.4.7信息系统用户不应使用信息系统开展电子游戏、视频、语音娱乐等与业务无关的活动。 5.4.8信息系统用户应使用正版软件,不应使用盗版软件或版权不明确的软件。 5.4.9信息系统用户应在其使用的计算机进行系统安全补丁、更新。 2 Q/SY 10346—2021
5.4.10信息系统用户不应制作和传播计算机病毒等破坏性程序。 5.4.11信息系统用户应在其使用的计算机上安装防病毒软件,并更新病毒定义文件。 5.4.12信息系统用户应参加由信息系统管理部门组织的培训活动。 5.4.13信息系统用户不应将使用的账户私自转借、转让给其他用户使用,由于私自转借、转让账户造成违规的,账户所有者负全部责任。
6 管理员用户职责 6.1 信息系统管理员 6.1.1 信息系统管理员应按5.4的要求执行,并遵守国家及企业保密要求 6.1.2信息系统管理员应按要求对信息系统中的数据定期进行备份。 6.1.3 信息系统管理员发现信息系统用户违规使用信息系统行为时,应立即向信息系统管理部门报告。 6.1.4信息系统管理员发现信息系统存在安全隐患时,应立即向信息系统管理部门报告:并按信息系统应急预案处置。 6.1.5信息系统管理员应按照8.1、8.2.1的规定生成密码并对密码的使用进行管理。 6.1.6信息系统管理员不应私自查看,复制,传输系统内的数据及信息,不应删除,修改信息系统日志,报警信息。 6.2 信息系统账号管理员 6.2.1 账号管理应设置账号管理员,账号管理员由信息系统管理部门指派人员担任。 6.2.2账号管理员负责对信息系统用户信息维护和管理,对用户分配账户和权限。
账号管理员应定期审核用户信息,删除或停用多余、过期账户,避免共享账户存在。
6.2.3 6.2.4账号管理员应对信息系统账号信息严格保密,不得泄露或告知他人。
6.2.5 5账号管理员负责对本单位的信息系统账号信息进行维护和管理,防止未授权访问和非法使用用户信息。 6.2.6[ 应开启系统用户登录失败处理功能 6.3 信息系统密码管理员 6.3.1 密码管理应设置密码管理员。 密码管理员由信息系统管理部门指派人员担任。 6.3.2 信息系统密码更新期限根据国家网络安全等级保护评定级别确定。 6.3.3 负责USBKey,生物特征,动态口令卡等多类密码的采集,发放, 回收和废止等。
7信息系统用户账号管理 7.1认证 7.1.1信息系统管理部门应对信息系统用户实行实名制管理,对信息系统用户身份进行实名制认证。 7.1.2中国石油USBKeY数字证书是信息系统用户在中国石油唯一正式的电子身份标识,用户的信息系统账号应与用户持有的中国石油USBKey数字证书实现对应 7.1.3中国石油USBkey数字证书应由持有者本人在终端设备上使用,在不使用时应将USBKey从终端设备中拔出,并妥善保管。 7.1.4信息系统用户不得以任何形式将中国石油USBKey数字证书转借他人使用。
3 Q/SY 10346—2021 7.2权限 7.2.1身份管理与认证服务平台实现信息系统用户对信息系统的访问授权。 7.2.2信息系统遵循最小授权原则,实现信息系统用户对系统模块和业务数据的操作授权。 7.2.3单一账号在同一信息系统内不能同时具有多个存在制约关系的业务岗位所对应的互斥权限。 7.3命名 7.3.1账号命名应遵守国家相关法律、法规和政策。 7.3.2账号命名应不涉及反动言论、敏感词汇等内容。 7.3.3账号命名应不涉及不文明、不道德内容。 7.3.4账号命名应遵循信息系统自身运行和维护的其他要求。 7.4生命周期 7.4.1审批包括:
a)信息系统管理部门应按业务部门要求制订信息系统账号实名制管理流程,包括账号的新增
变更、注销等: b)信息系统账号管理流程应至少包含一级审批。
7.4.2申请包括:
a)信息系统账号管理员应核实用户身份信息:并完成账号申请: b)信息系统用户在同一个信息系统中只能申请一个账号: c)外部用户申请账号应由内部用户代为完成。
7.4.3变更包括:
a)暂不使用信息系统的用户应提交停用申请,由信息系统账号管理员停用账号 b)需要恢复使用信息系统的用户应提交启用申请,由信息系统账号管理员启用账号:; c)对于可能或已导致信息安全事件发生的账号,应由信息系统账号管理员定位到责任人:及时
停用账号,并上报主管部门: d)信息系统管理部门应定期对信息系统账号及其账号所有者进行一致性检查,对于信息系统账
号与所有者信息不符的,应及时进行处理。
7.4.4注销包括:
a)不再使用信息系统账号的用户应提交注销申请:由信息系统账号管理员注销账号: b)信息系统管理部门应定期对无效账号进行注销操作; c)应周期性检验和发现不再使用的信息系统账户,并由相关信息系统核实后,予以注销。
7.4.5审计包括:
a)应启用账号审计功能。并覆盖到每个用户,对用户在信息系统内的操作行为进行审计: b)审计记录应涵盖用户登录。退出。访问和编辑数据等重要操作。内容应包括操作日期和时间
IP地址,操作类型、,是否成功及其他与审计相关的信息 c)应对审计记录定期备份,避免受到未预期的删除,修改或覆盖等 d)审计记录应至少留存6个月。
8信息系统密码管理
8.1生成规则
信息系统密码生成规则为:
4