收藏
下载资源

密码管理制度

上传人:m**** 文档编号:484186588 上传时间:2022-09-29 格式:DOCX 页数:7 大小:22.53KB
返回 下载 相关 举报
密码管理制度_第1页
第1页 / 共7页
密码管理制度_第2页
第2页 / 共7页
密码管理制度_第3页
第3页 / 共7页
密码管理制度_第4页
第4页 / 共7页
密码管理制度_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《密码管理制度》由会员分享,可在线阅读,更多相关《密码管理制度(7页珍藏版)》请在金锄头文库上搜索。

1、GZZD-XX-0371密码管理制度下发层级:一级(通用)发布时间:9月7日编码:XX-13-28目录制定目的2适用范围2规范事项2一、密码创建指引2二、密码保护指引2三、密码安全级别3四、密码安全管理策略实施检查4考核条款5附则5制定目的基于(以下简称“公司”)的业务需求,为明确信息资产访问控制的基本原则,强化信息资产访问控制措施的选择和实施,结合公司实际,制定本制度。适用范围本制度适用公司部门、各分支机构及其员工。规范事项一、密码创建指引(一)本制度所规范使用密码登录的系统和设备,包括但不限于各类服务器、网络设备、安全设备、监控设备、桌面PC机、各类移动设备运行的所有系统。(二)密码必须是

2、数字、字母、符号三者的组合;避免与系统用户名相同;避免使用公司名称;避免与个人信息有关,如家庭成员姓名、电话、身份证号或生日等;避免使用简单的数字和字母组合,如相同数字或字母、顺序排列或倒序排列等。二、密码保护指引(一)公司内部使用的账号密码不要与个人账户所使用的密码一致;不同系统之间,尽可能设置不同的密码;(二)未经允许,不应与任何人分享密码,包括管理员、上下级领导、下级员工、家庭成员等;所有密码视同敏感和保密信息;1 .严格限制通过电话、邮件、口头、短信等方式向任何人所要或告知密码;2 .严格限制系统自带的记住密码功能;3 .严格限制将密码记录下来,并放置在办公室明显位置;4 .所有的系统

3、应强制要求用户在第一次登录后修改初始密码。三、密码安全级别根据目前现状,密码等级分为三个等级、分别是低安全级别、中安全级别和高安全级别。(一)低安全级别密码的最低要求如下:1 .严格符合密码创建指引;2 .密码长度不得小于6位;3 .密码必须定期更换,同一密码连续使用不得超过180天;4 .不能重复使用前两次的密码。5 .中安全级别密码的最低要求如下:6 .严格符合密码创建指引;7 .密码长度不得小于8位;8 .密码必须定期更换,同一密码连续使用不得超过90天;9 .不能重复使用前五次的密码。(二)高安全级别密码的最低要求如下:1 .严格符合密码创建指引;2 .密码长度不得小于12位;3 .密

4、码必须定期更换,同一密码连续使用不得超过60天;4 .不能重复使用前八次的密码;5 .用户账号密码不得以明文存储和传输;(三)面向互联网的应用系统,禁止将支付密码和登录密码设置为同一密码,执行支付和提现操作,需设置短信验证方式,验证码长度不得小于6位。如因个人原因遗忘账号密码,可通过邮箱或者短信验证方式找回密码。(四)移动App登录时,除输入用户名/密码以外还需通过第二重认证方式进行,执行支付和提现操作,除通过支付密码进行验证还需设置第二重认证,如使用短信验证方式,则验证码长度不得小于6位,禁止将支付密码和登录密码设置为同一密码。用户未退出App,但是App重新回到前台后应通过二次认证进行用户

5、验证或注销用户。省码女全级别适用范围低公司个人使用桌面计算机;在功能上无法满足安全级别为中的系统和设备。中重要程度为RC和D的系统;B、C、D三类系统所涉及的网络设备和安全设备。高要程度为A的系统;除A级以外的面向互联网的系统;以上系统所涉及的网络设备和安全设备。(五)系统级别和重要程度请详见引用文件,如个别系统因版本问题或系统本身问题,可提供系统的不支持相关策略依据,以区别系统本身原因导致的不符合密码策略情况。1 .用户账号和密码为个人用户所拥有,任何人不得通过任何途径获取他人的用户账号与口令。个人用户负责自己账号和密码的保密。2 .如因个人原因遗忘账号密码,应及时通知相关系统管理员对密码进

6、行初始化,初始化后强制要求用户在第一次登录后修改初始密码。3 .公司员工如需设共享文件夹,必须加设密码。四、密码安全管理策略实施检查安全管理人员应对所有系统/设备的密码安全管理策略的实施进行抽样检查,如发现任何不合规的密码安全管理策略应及时采取相应的解决措施。(一)系统运维人员应了解进行有效访问控制的责任,特别是密码使用安全的责任。系统运维人员应保证密码安全,不得向其他任何人泄漏密码,对于因泄漏密码而造成的信息系统的损失,由运维人员本人负责。(二)当出现以下情况时,必须立即更改密码并做好相关记录:1 .掌握密码的网络管理人员离开岗位;2 .因工作需要,由相关厂家或第三方公司人员使用过的账号及密

7、码;3 .一旦有迹象表明密码可能被泄露。(三)当发生以下情况时,系统管理员应立即取消账号或修改账号的相应权限,并做好相关记录:1 .账号使用者已经离职;2 .账号使用者由于工作的变动不再需要访问权限;3 .由于工作需要开通的临时账号已到期4 .账号使用者违背了有关密码管理规范。考核条款(一)严重违反本制度相关条款,造成重大信息安全事件,对公司业务及公司形象造成严重影响的,相关责任人按行政管理制度甲类考核。(二)违反本制度相关条款,造成普通信息安全事件,对公司业务及公司形象造成轻微影响的,相关责任人按行政管理制度乙类考核。(三)违反本制度相关条款,但未造成信息安全事件,视违反行为情节严重程度,相关责任人按行政管理制度丙类、丁类、戊类考核。(四)出现本制度考核条款外的其他违纪行为,相关责任人参照行政管理制度有关条款执行考核。附贝u(一)解释权本制度由总公司信息中心负责解释和修订。(二)生效日本制度自下发之日起执行。信息中心9月7日

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 市场营销

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号