信息系統(tǒng)密碼管理辦法(共4頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上信息系統(tǒng)密碼管理辦法修訂記錄版本編號修訂日期主要修訂摘要審核記錄審核人員屬于部門審核日期第一章 總則第一條 密碼是驗證系統(tǒng)用戶身份和權(quán)限的常用手段之一，被廣泛用于計算機用戶及服務(wù)權(quán)限的識別與認(rèn)證，優(yōu)質(zhì)的密碼有利于保障信息系統(tǒng)被合法使用。為有效控制公司信息科技風(fēng)險，加固系統(tǒng)安全，防止未經(jīng)授權(quán)的訪問與操作，特制訂本管理辦法。第二條 信息系統(tǒng)用戶被識別和認(rèn)證的強度與其訪問內(nèi)容的敏感性和重要性相關(guān)。用戶可訪問和操作的事項越敏感、重要程度越高，則其受保護的強度也就越大。通常來說，系統(tǒng)級的用戶比普通的訪問用戶的敏感性更高，對其密碼的保護強度也越大。第三條 本管理辦法適用于公司管轄

2、范圍內(nèi)的各類信息系統(tǒng)的密碼設(shè)置管理。第二章 組織機構(gòu)與職責(zé)第四條 信息系統(tǒng)管理部門包括：信息中心和信息系統(tǒng)對口業(yè)務(wù)部門。信息中心門和對口業(yè)務(wù)部門在進行信息系統(tǒng)開發(fā)和維護時，應(yīng)充分地考慮通過采用適當(dāng)?shù)拿艽a策略使系統(tǒng)的各類合法用戶的訪問能夠得到合理和適度的保障。第五條 對于公司的各類信息系統(tǒng)密碼設(shè)置管理，信息中心應(yīng)主導(dǎo)信息系統(tǒng)對口業(yè)務(wù)部門采用適當(dāng)?shù)拿艽a策略，包括：1. 在新信息系統(tǒng)開發(fā)階段，必須依據(jù)系統(tǒng)訪問控制的要求部署強有力的密碼策略。2. 在現(xiàn)行信息系統(tǒng)運營維護階段，應(yīng)依據(jù)密碼安全管理基本要求完善密碼管理及使用流程，同時可針對信息安全級別高的系統(tǒng)單獨制定高于本策略要求的密碼管理制度及規(guī)范，以保

3、護公司各類信息資產(chǎn)的安全。第三章 信息系統(tǒng)密碼設(shè)置及控制措施第六條 信息系統(tǒng)管理部門包括：信息中心和信息系統(tǒng)對口業(yè)務(wù)部門。信息中心和對口業(yè)務(wù)部門在進行信息系統(tǒng)開發(fā)和維護時，應(yīng)充分地考慮通過采用適當(dāng)?shù)拿艽a策略使系統(tǒng)的各類合法用戶的訪問能夠得到合理和適度的保障。第七條 公司信息系統(tǒng)用戶包含內(nèi)部用戶和信息系統(tǒng)外部用戶：1. 信息系統(tǒng)內(nèi)部用戶分為系統(tǒng)級用戶和普通級用戶，系統(tǒng)級用戶是指信息中心和信息系統(tǒng)對口業(yè)務(wù)部門的系統(tǒng)管理人員；普通級用戶為公司各信息系統(tǒng)的內(nèi)部合法用戶。2. 信息系統(tǒng)外部用戶為公司對外提供的各類業(yè)務(wù)服務(wù)系統(tǒng)涉及密碼設(shè)置和使用的合法客戶。第八條 對于各類內(nèi)部用戶，信息系統(tǒng)管理部門在進行用

4、戶密碼設(shè)置和管理時，應(yīng)在系統(tǒng)中設(shè)定密碼相關(guān)控制措施：1. 應(yīng)強制內(nèi)部用戶使用優(yōu)質(zhì)密碼，并使用監(jiān)控工具檢查密碼的強度和長度是否合格：用戶密碼長度至少含有8個字符，應(yīng)同時包括字母和非字母字符（數(shù)字或特殊字符等）。2. 對于現(xiàn)行重要信息系統(tǒng)，因為信息系統(tǒng)自身限制導(dǎo)致密碼強度和長度暫不能達到要求的情況，應(yīng)在該重要信息系統(tǒng)進行變更或升級換代時滿足密碼強度和長度的要求，同時對于未能達到要求的事項信息中心應(yīng)予以記錄并歸檔。3. 信息系統(tǒng)管理部門應(yīng)為每位內(nèi)部系統(tǒng)級用戶設(shè)定唯一的初始密碼，此密碼必須唯一，必要時可考慮使用密碼生成器生成密碼；初始密碼在第一次使用后信息系統(tǒng)強制要求變更。4. 系統(tǒng)應(yīng)控制登錄嘗試的頻

5、率，密碼最多連續(xù)輸錯6次即鎖定用戶賬戶，以限制反復(fù)嘗試密碼，鎖定時長設(shè)定為至少30分鐘或直到系統(tǒng)管理員重新啟用該用戶賬戶，對于系統(tǒng)管理員用戶必須重置密碼。5. 在重設(shè)密碼前必須驗證確認(rèn)使用者的身份，例如：在設(shè)置新的密碼前必須驗證舊密碼；如果用戶遺忘密碼并通過電話、郵件等非面對面的方式要求重置，必須通過穩(wěn)妥的途徑驗證用戶的身份。6. 至少每90天撤除/凍結(jié)一次非活躍的用戶賬戶。7. 強制要求用戶至少每90天變更一次密碼；到期前一個星期提醒用戶更改密碼，并驗證新密碼非原密碼；內(nèi)部系統(tǒng)級用戶（例如：root賬號、啟用賬號、NT管理賬號、應(yīng)用程序管理賬號，等），至少30天更改一次。8. 輸入密碼時，在

6、屏幕上不顯示密碼明文，應(yīng)該采取掩蓋措施，以防止非授權(quán)用戶和其他人窺視。9. 維持一份以前用戶密碼的記錄，不允許用戶再次提交前四次用過的舊密碼。10. 所有密碼的產(chǎn)生和修改都應(yīng)該留下記錄，包括密碼的使用、成功登陸日志、失敗登陸日志（包括日期、時間、用戶名或登陸名）等，并需要經(jīng)常進行檢查。11. 用戶成功登陸后，盡量顯示上次成功或失敗登陸的日期和時間。12. 可停用、啟用用戶名，可限制用戶對系統(tǒng)的訪問時間。13. 系統(tǒng)可自動凍結(jié)超過兩個月未使用的用戶。14. 對于現(xiàn)行信息系統(tǒng)運行過程中使用的特殊用戶（包含用于系統(tǒng)后臺訪問數(shù)據(jù)庫的用戶、系統(tǒng)程序中訪問其它系統(tǒng)或子系統(tǒng)的用戶，等），需建立并實時維護特殊

7、用戶列表，并保障特殊用戶不被凍結(jié)。15. 系統(tǒng)可生成凍結(jié)用戶報表及系統(tǒng)用戶權(quán)限明細表。16. 可設(shè)置系統(tǒng)權(quán)限沖突列表，區(qū)分有沖突的權(quán)限。17. 控制同一個時間用戶只能在某臺終端登錄一次。18. 如果一個會話空閑的時間超過15分鐘（應(yīng)將此功能設(shè)置參數(shù)化，可調(diào)整），則要求用戶再次輸入密碼以重新激活終端。19. 系統(tǒng)管理部門應(yīng)通過管理程序來控制各類已經(jīng)終止的使用者的訪問權(quán)，主要包括各類離職和轉(zhuǎn)崗的用戶。第九條 對于特定的內(nèi)部系統(tǒng)級用戶，如存在信息系統(tǒng)發(fā)生突發(fā)事件時多人使用同一系統(tǒng)用戶進行應(yīng)急處置的情況，系統(tǒng)管理部門需建立并完善用戶使用的授權(quán)管理、使用監(jiān)督以及記錄機制。第十條 對于信息系統(tǒng)外部用戶，盡

8、量不由公司自動生成初始密碼。如果某些系統(tǒng)由于其業(yè)務(wù)特征需要為客戶設(shè)置初始密碼的，應(yīng)為每位使用者設(shè)定唯一的初始密碼，避免采用簡單的鍵盤序列（例如、asdfgh）、客戶身份證組成部分等簡單易于猜想的密碼，必要時可考慮使用密碼生成器生成密碼，初始密碼在第一次使用后系統(tǒng)強制要求變更。第四章 信息系統(tǒng)用戶密碼使用管理第十一條 各信息系統(tǒng)內(nèi)部用戶應(yīng)謹(jǐn)慎使用和保管密碼，并遵循以下的準(zhǔn)則：1. 密碼僅限用戶本人知曉，不得與他人共享。2. 記住密碼，不能以任何明文方式記錄和保存密碼；若要記錄或保存密碼，應(yīng)采用加密措施將密碼存放在電子文件中。3. 確保在輸入密碼時無人窺視。4. 使用優(yōu)質(zhì)的密碼，保證密碼具有適當(dāng)?shù)?/p>

9、強度和長度。1) 密碼長度至少含有8個字符，應(yīng)同時包括字母和非字母字符（數(shù)字或特殊字符等）。2) 密碼不能與用戶名或登錄名相同。3) 密碼不可選擇簡單的鍵盤序列（如asdfgh，等）。4) 不要選擇可以與用戶相關(guān)聯(lián)的密碼，如姓名，生日，電話號碼等。5) 用戶不要選擇可以在任何字典中找到的單詞作為密碼，即使反過來拼也不可以。6) 可考慮使用拼錯的單詞或用戶喜歡的詞組組成密碼。第十二條 所有供應(yīng)商的默認(rèn)密碼必須修改。第十三條 如懷疑密碼被攻破或泄漏，必須立即更改密碼，并向系統(tǒng)管理員或系統(tǒng)維護人員報告；如果root 賬號的密碼被攻破或泄漏，則所有的密碼都必須修改，并采取相應(yīng)保護措施。第十四條 如在工作中不得不允許第三方人員訪問信息系統(tǒng)，則已獲授權(quán)使用計算機系統(tǒng)的第三方人員不得擅自更改計算機密碼，違規(guī)者將被視為信息竊取者。在第三方授權(quán)人員使用完計算機系統(tǒng)后，計算機責(zé)任人應(yīng)立即更改密碼。第十五條 應(yīng)定期更改密碼，包括：1. 對于設(shè)置了強