信息系统用户授权和管理的规定
发布时间:2023年10月17日 点击数:
第一章 总 则
第一条 为保障唐山学院信息系统运行安全稳定,管理规范有序,使用高效便捷,特制定本规定。
第二条 本规定适用于唐山学院所有部门。
第二章 用户分类
第三条 唐山学院信息系统中的用户按照系统管理员与普通用户分类。
第三条 其中系统管理员包括应用系统管理员、基础运行环境(包括网络系统、安全系统、主机服务器操作系统、数据库、存储、公共平台、中间件等)管理员等特权用户,各管理员拥有对相关系统修改使用的权限;普通用户包括由系统管理员在信息系统中创建并授权的非管理员用户,拥有在被授权范围内登陆和使用信息系统的权限。
第四条 普通用户根据是否为唐山学院在册人员分为教职工用户和临时人员用户,临时人员用户仅在规定时限和范围内可以使用系统。
第三章 用户账号授权管理
第五条 唐山学院在册教职工申请开通用户账号由教师工作部(人事处)开具在职证明,业务系统管理员负责权限开通。临时人员申请开通用户账号由相关部门开具证明,并签字盖章,业务系统管理员审合通过后,根据满足需求的最小权限开通。
第六条 教职工离职后,系统管理员对其账号信息备份后注销。临时人员申请账号时需注明使用期限,到期后由系统管理员手动或系统自动注销账号。
第七条 系统管理员应由信息系统所属部门的主要负责人指定,授权应以满足其工作需要的最小权限为原则,同时系统用户应接受审计。对等级保护定级为二级以上信息系统的系统管理员,应进行人员的严格审查,政治素质、道德品质、工作态度、操作技能等各方面均符合要求的人员才能给予授权。系统管理员责任应落实到个人,不能以部门或组织作为责任人。在关键信息系统中,对系统管理员的授权操作,必须有两人在场,并经双重认可后方可操作,操作过程应自动产生不可更改的审计日志。
第八条 普通用户应保护好口令等身份鉴别信息;发现系统的漏洞、滥用或违背安全行为应及时报告;不应透露与组织机构有关的非公开信息;不应故意进行违规的操作。普通用户不应在不符合敏感信息保护要求的系统中保存和处理高敏感度的信息;不应使用各种不可信的软件。应在系统规定的权限内进行操作,必要时某些重要操作应得到批准;用户应保管好自己的身份鉴别信息载体,不得转借他人。
第九条 临时用户的设置和期限必须经过审批,使用完毕或到期应及时删除,设置与删除均应记录备案。对重要部门岗位的临时用户应进行审计,并在删除前进行风险评估;在关键部门岗位,一般不允许设置临时用户。
第四章 责任追究
第十条 因权限审批人员审批不严而分配给用户不应有的权限造成信息泄露的,追究权限审批人员的责任,根据泄密的程度及是否对学校造成经济损失,按学校相关规定问责。涉嫌违法犯罪的,按照国家有关法律法规处理。
第十一条 因系统管理员操作不当而给用户不应有的权限造成信息泄露的,追究系统管理员的责任,根据泄密的程度及是否对高校造成经济损失,按学校相关规定问责。涉嫌违法犯罪的,按照国家有关法律法规处理。
第十二条 因用户将其本人用户名、密码转借或转让他人使用造成信息泄露的,追究账户所有人的责任,根据泄密的程度及是否对高校造成经济损失,按学校相关规定问责。涉嫌违法犯罪的,按照国家有关法律法规处理。
第四章 附则
第十三条 本规定是《唐山学院网络与信息安全管理办法》配套系列制度之一,从属于《唐山学院网络与信息安全管理办法》。
第十四条 本规定由现代教育技术中心负责解释,自发布之日起施行。