信息通信技术访问和帐户管理程序

意图

本程序的制定是为了支持信息通信技术(ICT)可接受使用政策，并将通过以下方式促进该政策的意图:

• 表达大学对维持安全、有效和可靠的大学ICT服务的承诺;
• 管理访问大学ICT服务的帐户的提供、维护和终止;
• 概述大学ICT服务的提供、修改和删除;和
• 确保大学为其帐户持有人提供安全、及时的网上服务和资源，以进行他们的工作和学习。

范围

本程序适用于由大学或代表大学的第三方供应商管理的大学ICT服务的所有授权用户，包括校内和校外。

定义

ICT可接受使用政策中定义的术语在本ICT访问和账户管理程序中具有相同的含义。

账户指允许用户访问大学ICT服务的用户名或其他标识符，无论是否有密码。

资产拥有者指对大学ICT服务负有责任和权威的个人或集体组织。

学院/部门代表指由学院或首长级委任的人，其职责是控制分配给学院或首长级的大学资讯及通讯科技服务的使用。

委托账户指由客户经理控制的外部账户。帐户经理可以更改帐户的名称、使用日期和密码。

General Access Teaching Computer Facilities Labs (GATCF)指由大学提供的计算实验室和设备。

通用的帐户指与个人身份(如大学教职员或学生)无关的账户。

ICT新闻简报指ICT通过电子邮件提供的信息，自动输出到工作站或基于网络的大学新闻公告板上。

外部用户指大学以外的个人或组织。

特权系统访问意味着对操作系统、数据库和应用程序中的管理角色的访问，例如Linux系统中的根访问。

研究非军事区指的是在校园或实验室的本地网络周边或附近建立的网络的一部分，其设计使设备、配置和安全策略针对高性能研究应用进行优化，而不是针对通用的业务系统或企业计算。

表的内容

1. 员工账户的创建
2. 学生账户的创建
3. 创建外部账户
4. 创建代表账户
5. 员工行政二级账户创建
6. 要求额外的访问
7. 请求通用账户
8. 密码
9. 重置了密码
10. 当员工与大学的关系发生变化时，修改他们的访问权限
11. 当学生与大学的关系发生变化时，修改他们的访问权限
12. 对信息和通信技术工作人员的额外要求
13. 访问评论
14. 暂停账户
15. 禁用和删除学生账号
16. 员工账号的禁用和删除
17. 禁用和删除委托和外部帐户
18. 记录管理
19. 联系人

介绍

这些程序旨在通过提供详细的访问管理程序来支持ICT可接受使用政策的操作性。

大学ICT服务是大学的财产。

过程

1.员工账号的创建

招聘经理必须:

1. 使用人力资源信息系统(HRIMS)完成必要的招聘申请。

   信息与通信技术部将:

2. 创建用户网络帐户。所有教职员工账号都可以使用大学ICT服务，包括:
   1. 大学的电子邮件;
   2. 无线网络接入(edu漫游);
   3. 企业应用包括MyHR Online, Staff Online, Cognos, Riskware和Concur;和
   4. 访问公共文件共享(在适当的情况下)。
3. 向员工或指定主管提供账户详细信息。

监管机构将:

4. 向新员工展示如何在首次登录时更改密码。

2.创建学生账号

信息与通信技术部将:

1. 在学生进入大学系统时创建学生账户，目的是为学生提供大学的名额。
   

   已经接受录取的准本科生和研究生将:

2. 从Get Started @ JCU获取大学计算机帐户详细信息(登录名、密码和电子邮件地址)。学生需要8位数字的大学学号，该学号由大学招生办提供，包含在课程录取通知书中，以便登录。
3. 第一次登录时更改密码。

3.创建外部账户

外部账户可以为外部用户、访问学者、工作人员或学生安排，以提供访问中央系统、电子邮件和互联网访问的目的。外部帐户表格适用于将在大学学习一段较长时间的单个用户。

一个外部帐户-用户注册表必须完成并转发到ICT帮助台。

信息与通信技术部将:

• 创建外部帐户，并将帐户详细信息通知该帐户的所有者。

4.创建委托账户

委托帐户类似于外部帐户，但它们允许员工控制帐户的占用情况。帐户经理可以通过web服务更改帐户的名称、使用日期和密码。这对于允许访问学者、教职员工或学生访问中央系统(包括互联网访问)是很有用的。委托帐户通常用于在短时间内发生变化的用户。

一个委托帐户申请表格必须完成并转发到ICT帮助台。

信息与通信技术部将:

• 创建Delegate Account并将Account详细信息通知该Account的所有者。

5.建立员工行政二级账户

拥有特权系统访问权限的大学教职员工或学生必须使用独立于标准用户帐户的帐户。该帐户将有一个合适的命名约定，以方便识别。

资产所有者将:

• 根据ICT最低权限指南，为拥有特权系统访问权限的大学职员或学生创建二级管理帐户。

6.要求额外的访问

授权用户可以要求额外访问大学ICT服务，包括文件共享和应用程序。如果一名工作人员要求的访问级别不同于通常给予他们相关领域的人，他们的学院院长或主任必须授权所需的访问级别，并将该授权提交给信息和通信技术或资产所有者。

申请额外权限的工作人员将:

1. 向学院院长或院长提交额外访问请求(按照学院或董事会要求的格式)，以获得授权;和
2. 向ICT Help Desk提交授权请求。

学院院长或理事会将:

3. 根据大学政策和程序决定是否授权额外访问。

   信息与通信技术部将:

4. 保存获授权学院/首长级代表名册;
5. 验证和分配额外的访问权限;和
6. 信息通信技术部无法分配访问权限的，将通知相关资产所有人。

7.请求通用账户

通用账户由信息和通信技术公司不时手动创建，以满足大学的运营需要。一般账户不允许访问学生、财务或个人身份信息。

工作人员将:

1. 向学院院长或院长提交通用账户申请(格式按学院或董事会要求)。
   

   学院院长或院长将:

2. 根据适用的大学政策和程序，决定是否批准通用账户和访问;和
3. 如获批准，请将请求转发至ICT帮助台。

信息与通信技术部将:

4. 创建通用帐户，并通知帐户所有者帐户详细信息;和
5. 在通用账户到期时，或在通用账户负责人的要求下，手动删除通用账户。

8.密码

授权用户必须:

1. 选择符合大学密码要求的密码;
2. 定期更换密码;和
3. 维护其密码的安全性。

信息与通信技术部将:

4. 实现基于用户组的基线分级密码策略，定义如下表1所示。

表1 -密码要求

要求	用户组
	本科生、研究生和研究生	员工，普通，委派和外部帐户	ICT员工二级行政/域账户	服务帐户(例如应用程序到数据库)	系统帐户(例如Linux中的root)
空密码	不允许	不允许	不允许	不允许	不允许
最小长度	8个字符	8个字符	15个字符	16个字符	20个字符
最大长度	系统最大	系统最大	系统最大	系统最大	系统最大
相邻字符(ABC)的重复字符(AAA)	不允许	不允许	不允许	不允许	不允许
复杂性 (8 - 14字符)	至少包含1个数字(0 - 9)，1个大写字母(A - Z)和1个小写字母(A - Z)	至少包含1个数字(0 - 9)，1个大写字母(A - Z)和1个小写字母(A - Z)	NA	NA	NA
复杂性 (15个或以上字符)	包含一个数字(0 - 9)或一个大写字符(A - Z)或一个小写字符(A - Z)	包含一个数字(0 - 9)或一个大写字符(A - Z)或一个小写字符(A - Z)	包含一个数字(0 - 9)或一个大写字符(A - Z)或一个小写字符(A - Z)	包含一个数字(0 - 9)或一个大写字符(A - Z)或一个小写字符(A - Z)	包含一个数字(0 - 9)或一个大写字符(A - Z)或一个小写字符(A - Z)
密码更改(8-14个字符)	365天	365天	365天	是必需的。	180天(或知道密码的ICT员工离职时)
密码修改(15个或以上字符)	没有变化	没有变化	365天	是必需的。	180天(或知道密码的ICT员工离职时)
在指定的不成功尝试后应用暴力缓解	是的	是的	是的	推荐	推荐
以加密格式存储	是的	是的	是的	是的	是的

如果系统不支持上述要求，信息和通信技术将:

1. 识别系统，并对提议的解决方案进行风险评估，以确定减轻控制措施;和
2. 实施缓解控制措施或向资产所有者提出建议。

负责Research DMZ的行政人员将:

1. 实现和维护Research DMZ的安全指导方针;和
2. 遵守上述密码策略。在不符合上述密码策略的情况下，根据风险评估的结果实施减轻控制。

9.重置了密码

忘记帐号密码的授权用户必须:

1. 向ICT Help Desk提交更改密码的请求;或
2. 亲自向Library InfoHelp提交请求或;
3. 使用JCU的密码重置功能(在可用的地方)。

信息和通信技术部将维持一个手动重置密码的过程。信息与通信技术部将:

1. 向授权用户的其他联系方式(如电子邮件)发送电子邮件，要求提供以下信息:
   • 全名
   • 大学工作人员/学生数量
   • 地址/家庭住址
   • 就业/学习学部或学院
   • 出生日期
2. 确认获授权用户的身分，并提供一次密码予获授权用户预先登记的联络资料，以便在首次登入时更改。

图书馆信息帮助工作人员将:

1. 使用以下方法确认授权用户的身份:
   • 大学教职员或学生卡;或
   • 其他适合的照片证明形式。
2. 确认授权用户的帐户仍然有效;和
3. 为授权用户提供亲自输入新密码的能力。

10.当员工与学校的关系发生变化时，修改他们的访问权限。

有关的学院院长或院长必须:

• 如果工作人员与大学之间的关系发生任何变化，可能会影响该工作人员享受大学ICT服务的权利，请通知人力资源部。

人力资源署署长会:

• 确保在HRIMS系统中做出适当的职位变动。该系统将向信息与通信技术部门发送消息，通知职位变更。

信息与通信技术部将:

• 通过遵循可能存在的任何标准修改流程，修改教职员工对大学ICT服务的访问。这个过程将在可能的情况下实现自动化。

11.当学生与学校的关系发生变化时，修改他们的访问权限。

学生服务部必须记录学生在学校内的个人状态和进步:

学生服务部主任将:

• 确保在学生管理信息系统(SMIS)中做出适当的状态更改。该系统将向信息与通信技术部门发送消息，通知职位变更。

信息与通信技术部将:

• 通过遵循任何可能到位的标准修改流程，修改学生对大学ICT服务的访问权限。这个过程将在可能的情况下实现自动化。

12.对信息和通信技术工作人员的额外要求

在信息和通信技术领域工作的大学课程或项目的工作人员通常不会被授予访问大学ICT服务的权限，而这种访问权限可以使他们更改自己或他人的学业成绩。

总数码主任必须:

1. 对那些可能注册为大学学生的工作人员进行监督，确保有足够的访问控制，以确保信息和通信技术人员不能修改与学生相关的记录;和
2. 实施流程(例如监督)以确保信息和通信技术工作人员不修改学术成绩或材料。信息和通信技术工作人员不会:
   1. 在任何课程的课程资料供已就读该课程的学生查阅之前，除非他们已取得准备该课程的教职员、讲师、导师、教师或讲师、或课程统筹主任或有关学院院长的书面许可;
   2. 采取任何行动，使他们或其他人获得比其他学生的学术优势;
   3. 除非在履行大学职责的过程中有需要，否则不得访问任何人的任何个人、学术或机密信息;或
   4. 执行与其职位或职责不相称或未经其授权的任何其他行为。

13.访问评论

资产所有者负责审查系统访问权限，必须:

• 定期审查访问权限，必须立即撤销授权用户不再需要的所有特权。
  • 所有对系统的特殊或特权访问(如行政或主管帐户，或在大学课程或项目中注册的信息和通信技术工作人员)必须每6个月审查一次。
  • 所有授权用户的访问权限必须定期审查，不超过12个月，包括当他们改变角色时，以保持有效的访问控制和防止访问蠕变。

信息与通信技术部将:

• 向资产所有者提供适当的报告，以审查当前的访问。

14.暂停账户

在某些条件下，首席数字官、总监、学生服务部或人力资源部总监可授权暂停账户。将被考虑暂停账户的情况包括(但不限于):

• 对大学ICT服务的威胁;或
• 不当使用大学ICT服务、系统或软件。

15.禁用和删除学生账号

如果学生与学校的关系结束(例如，通过完成课程、中断学习、终止学习、退学或开除)，学生服务部主任将:

• 在学生管理信息系统(SMIS)中做出适当的更改，以反映他们的结束日期。

没有接受该大学录取通知或未能入学的学生，将被学生服务处例行地从系统中删除。SMIS将向信息与通信技术部发送消息，通知这一变化。

信息与通信技术部将:

• 按照以下日程安排:

表2 -账户删除时间表-学生

• 在禁用日期前30天，通过发送电子邮件通知那些计划禁用帐户的学生。在此日期之后，将继续与学校保持联系的学生将在邮件中被告知他们必须遵循的流程，以保留他们的账户和适当的访问权限。对于去世的学生会员，将不会发送任何通知。已完成课程的学生(即校友)可访问由学生服务部确定的大学电子邮件帐户。

16.员工账号的禁用和删除

如教职员与大学的关系终止(例如退休、辞职、终止或终止合约)，有关的书院院长或院长必须:

• 通知人力资源部。

人力资源署署长会:

• 确保在人力资源系统中做出适当的更改，以反映员工的离职日期;和
• 确保相关方(包括资产所有者、校园安全和信息与通信技术)获悉工作人员与大学关系的变化。

资产所有者将:

• 从工作人员的帐户中删除特权访问权限。

信息与通信技术部将:

• 从员工账户中删除特权访问权限(其中与预定义的系统安全组相关联);
• 禁用工作人员的帐户，并按以下时间表访问大学ICT服务:

表3 -账户移除时间表-员工

的关系	访问被禁用的日期	方法
人员/学生特权帐户	最后一天的工作结束。	手动过程
学术和行政人员-继续(永久)-辞职	最后一天的工作结束。	人力资源系统自动触发
学术和行政人员的终止或解雇	聘任最后一天	人力资源系统自动触发
学术和行政人员-固定期限合同	聘任最后一天	人力资源系统自动触发
学术和行政人员-非正式	临时合同终止后180天或根据人力资源部的建议。	人力资源系统自动触发

• 通知计划禁用帐户的员工，在禁用日期前30天内发送电子邮件。在此日期之后，将继续与大学保持关系的工作人员将在邮件中被告知他们必须遵循的程序，以保留他们的帐户和适当的访问权限。对于去世的员工，我们不会发送任何通知。

与大学有多重关系的工作人员(例如既是学生又是工作人员的帐户持有人)只终止其中一种关系的工作人员只会删除终止关系的相关访问权限。

17.禁用和删除委托和外部帐户

委托和外部账户的所有者必须:

• 当不再需要该帐户时，通知信息和通信技术部门。

信息与通信技术部将:

• 从委托或外部帐户中删除特权访问权限(此处与安全组关联);和
• 禁用委托或外部帐户，并访问大学ICT服务。

18.记录管理

根据知识产权政策的规定，所有由教职员帐户持有人在履行大学职责过程中创建的记录都是记录，无论使用何种形式和技术生成记录。这些记录是大学的财产，并受其控制，它们可能是相关州立法所涵盖的官方记录。

电子文档，如电子邮件，受与硬拷贝记录相同的要求约束，并且必须按照大学的记录管理政策进行捕获。

詹姆斯库克大学的记录管理团队有授权的责任，确保所有大学公共记录的创建、维护、保存和销毁都符合大学的保留和处理计划(RDS)和行政记录的一般保留和处理计划(GRDS)。

所有工作人员和他们的导师必须:

1. 确保所有记录都存储在学校的记录管理系统中，或者
2. 转入大学记录管理小组，在大学记录管理系统中进行存储、维护、保存和销毁。

如职员在离开大学前未能确保上述第1)或2)点的程序得到遵守(例如，由于生病或死亡)，该职员的有关主管可要求首席数字主任授权另一名大学职员在帐户被禁用和删除之前查看和处理与该帐户有关的记录。

19.联系人

如需进一步信息，请联系:

• JCU ICT Help Desk(汤斯维尔:4781 5500;凯恩斯:4042 1777;新加坡:6576 6811 - 814)。
• 学院人力资源总监(directorhrm@jcu.edu.au)
• JCU首席数字主任(cdo@jcu.edu.au)
• JCU学生服务(汤斯维尔:+61 7 4781 5601，international@jcu.edu.au或凯恩斯:+61 7 4232 1558，isccairns@jcu.edu.au)
• JCU版权主任(copyright@jcu.edu.au)
• 隐私(本部同样高品质gsu@jcu.edu.au)
• 网络安全(本部同样高品质cybersecurity@jcu.edu.au)

相关的政策工具

ICT可接受使用政策和程序

员工行为守则

学生行为规范政策

负责任研究行为规范

知识产权政策

网络安全政策

风险管理政策

记录管理政策

大学校董会行为守则

相关立法

澳大利亚昆士兰

《1997年詹姆斯库克大学法案》(昆士兰)

2009年《信息隐私法》(昆士兰)

《2002年公共记录法》(昆士兰)

电信拦截Act 2009(昆士兰)

昆士兰2009年信息权利法案(昆士兰)

澳大利亚联邦

罪法》1914车车(澳大利亚)

2001年网络犯罪行为车车(澳大利亚)

1968年版权法案车车(澳大利亚)

垃圾邮件法案2003车车(澳大利亚)

《1979年电信(拦截和访问)法》车车(澳大利亚)

新加坡

计算机滥用和网络安全法50 (Cap)(新加坡)

版权法案(上限63)(新加坡)

垃圾邮件控制法案311 (Cap)(新加坡)

不受欢迎的出版物行动(上限338)(新加坡)

政府

注:本政策的印刷副本是不受控制的，货币只能在印刷时得到保证。

批准的细节

策略域	数字基础设施
政策支持	服务与资源副校长
版本没有	22-1
下次专业复核日期	08/02/2022

修订历史

注意:微小的修改不会导致下一个主要审查日期的改变。

批准日期-保单保荐人批准设立、轻微或重大修改或解散的日期

实施日期-程序在Policy Library中发布的日期，是程序生效的日期

版本	批准日期	实现日期	细节	作者
22-1	13/07/2022	18/07/2022	修改程序以澄清密码要求	信息和网络安全经理
2017 - 1	08/02/2017	09/02/2017	程序建立	信息与通信技术

关键字

关键字	访问控制，通用账户，委托账户，密码，通用账户，外部账户，访问审查
联系人	信息和网络安全经理