一、总则

1.为进一步加强学院信息系统安全管理工作，强化用户访问控制过程的监管，完善各业务系统中数据及文件的保护机制，确保未经许可的用户无法访问数据，且对用户权限进行合理规划，使系统在安全状态下满足工作的需求，特制定本规范。

2.本规范适用于信息中心及各部门系统管理员。

二、环境及设备

1.网络中心作为全院网络架构中枢设备的集中地，未经网络中心管理员授权，本院或外来人员不得随意出入网络中心，进入网络中心的人员须严格遵守网络中心管理制度。

2.为保障学院网络访问控制安全，严禁未经许可的用户利用有线或无线方式私自接入学院网络中。

3.为保障学院各类应用数据及文件丢失损坏，严禁未经许可的用户利用网络或存储设备私自采取拷贝、修改、删除等方式访问数据。

三、密码管理

1.操作系统的超级管理员密码、数据库管理员密码，应用系统管理密码只能由系统管理员设置，并通知本部门主管领导，切勿向他人透露。

2.为确保密码安全可靠，避免密码泄漏带来的系统风险，需对密码实行每月修改一次制度（包括假期期间），新密码应向本部门主管领导报告。

3.应用系统或软件平台建设阶段，考虑到供应商需要对自己的产品进行调试，可以在调试期间将相关密码暂时开放给供应商指定技术人员，调试结束后应第一时间修改相关密码。

4.任何人不应该书面记录下密码，并放在别人可以轻易看到的地方。密码不得设置成特定词汇或其他能被轻易猜到的字词，类似姓名、电话号码、身份证号、生日等都是不合格的密码。

5.管理密码设置标准：

四、权限管理

1.根据操作需求，在系统中分别建立对业务数据只有“增、删、改”权限的用户和只有“查询”权限的用户，不同的操作需求开放不同权限的用户。

2.应用系统的用户及初始密码统一由系统供应商设置，并告知系统管理员，管理员在首次登录时必须更改密码，且密码必须每月修改一次。

五、责任

1.任何人不得与他人共享密码。如果已经告知了他人，那么用户将对他人利用密码所做的任何行为的后果负责。

2.若用户怀疑密码已经被泄露，应该尽快通知系统管理员更换密码，并在第一时间向信息中心系统管理员备案。

3.因特殊情况需要共享密码的话，则必须征求相关部门系统管理员及主管领导同意。

4.用户有责任对自己录入系统的数据准确性负责。如果发现错误，并且自己能够修改的话，则应该将其改正。如果自己改正不了，则应该向本部门系统管理员或主管领导汇报。如果是在源文件发现数据错误，则应该尽快改正这些错误，而不是故意将这些错误数据存入系统。

5.用户在离开终端机器或电脑前必须执行下线操作。如果是使用不带下线功能的单机电脑，则必须在离开电脑前终止程序（除执行批处理任务时例外）。

6.当用户的工作职责有变动时，他的访问权也应该作相应的变更，并及时向信息中心系统管理员备案。特别是在员工辞职的情况下，该系统所在的部门应该及时通知信息中心系统管理员以保证在最短的时间采取应对方案。