信息系统访问控制管理规定
总则
为加强科技发展部信息系统的访问管理，规范用户管理、密码管理及访问控制管理行为，特制定本规定。
本规定适用于科技发展部负责运行维护的信息系统及其管理活动。
组织和职责
科技发展部风险管理组负责监督各部门在信息系统访问管理方面的工作。
各部门安全组负责监督和检查本部门在信息系统访问管理方面的工作。
各部门负责信息系统访问的日常管理，部门负责人负责本部门职责范围内的用户权限申请、变更、回收的审核工作，定期组织对本部门访问管理的自查。
全体员工必须遵守本规定的要求，按需申请信息系统的访问权限，严格管理分配给本人的用户并定期修改密码，不越权访问未被授权访问的内容。
基本原则
信息系统访问管理遵循如下基本原则：
隔离运行：对于不同重要程度的信息系统，应采取特定的隔离措施，确保各类系统独立运行；
权限最小：用户只应具有完成工作所需的访问权限；
用户唯一：信息系统中的用户应该具有唯一性；
按需授权：权限审批时应根据用户实际需要审批授权；
职责分离：用户访问的请求、授权、管理应实现职责分离；
默认拒绝：未经明确授权，一律视为禁止。
用户管理
用户对信息系统的访问和权限变更需要提出申请，用户所在部门的负责人对申请进行初审，信息系统的主管部门负责人进行复审，信息系统的用户管理员负责处理得到审批后的请求。
用户管理员对本系统其他用户的权限进行管理和维护，不得私自增加、修改、撤销其他用户权限和密码。
用户管理员负责密码信封(含电子密码信封)的制作，负责建立信息系统的用户权限清单和特权用户清单，综合组统一保管和备案。
普通用户在授权范围内完成自己的工作，不得擅自将用户名和密码转授他人使用，工作完成后应立即退出系统。
信息系统的主管部门应定期向使用部门提供相关用户权限清单，使用部门负责人应根据该清单核实用户权限分配情况并反馈给信息系统的主管部门。
信息系统的主管部门应定期对特权用户进行审查，确保特权用户的使用受到监督。
用户离岗时，必须办理离岗手续，申请回收或变更已经被授予的权限，用户管理员必须及时对权限进行变更或撤消。
密码管理
用户必须设置密码，所有岗位人员只能掌握本人工作所需的密码，不得窥探其他用户的密码。
信息系统用户的密码长度应满足相应系统的安全要求，密码长度不得短于6位，密码的设置需科学、严密、合理，须混合使用字母、数字或特殊符号，不得使用缺省密码。
密码的存储应得到必要的保护。纸质形式存储的密码应放到保险箱内，其使用应得到授权，并对使用情况进行记录；电子形式存储的密码，不得以明文方式存放，应采取加密等控制措施。
生产环境中的信息系统，其默认的密码必须被修改。
用户在得到自己的初始密码后，必须立即更改初始密码；重要岗位人员变动交接时或发现密码泄漏时，必须立即更改密码，密码泄漏事件应立即报告所属部门信息安全员。
信息系统用户的密码必须定期修改，密码修改的期限不能超过3个月。
由于未及时修改密码等原因导致账户被锁，用户需重新办理用户权限申请手续。
访问控制
用户必须在经科技发展部批准的指定区域内登录生产系统，登录时必须使用指定的设备。
生产系统的远程访问需要实施严格的控制，特权用户不得通过远程访问登录生产系统。
针对第三方必须进行的远程访问，应确保用于连接的物理线路在访问结束后及时断开。
操作系统应设置用户的联机时间限制，确保长时间无响应的访问能够自动断开。
各部门应该严格控制生产系统中系统工具的使用，对于可能超越系统和应用程序控制措施的系统工具使用，应有登记并由相关负责人审批。
操作系统（含网络操作系统）应设置会话超时退出机制及密码错误超限锁定机制。
信息系统日志记录必须包含用户名称，访问时间和退出时间等必要信息。
无人值守的设备必须采取屏幕保护、会话超时等措施进行保护，防止非授权访问。
用户在离开所操作的信息系统时，应退出登