信息系统密码使用管理制度 第一章总则
第一条为规范()信息系统(以下简称“信息系统”)帐号口令管理,保障信息系统安全运行,特制订此制度。
第二条本制度适用于()()部。
第二章密码使用管理
第三条系统建设与运维小组的运维人员应了解进行有效访问控制的责任,特别是密码使用安全的责任。
第四条运维人员应保证密码安全,不得向其他任何人泄漏密码,对于因泄漏密码而造成的信息系统的损失,由运维人员本人负责。
第五条应避免在纸上记录密码,或避免将密码以明文方式记录计算机内,若记录在计算机内需加密保存文件。
第六条不要在任何自动登录程序中使用密码,如在宏或功能键中存储。
第七条用户忘记密码时,必须在对该用户进行适当的身份识别后才能将其密码恢复至默认,并通知用户及时修改默认密码。
第常规情况下,用户至少应每隔90天更改一次密码,避免再次使用旧密码或循环使用旧密码。
第九条允许用户选择和变更他们自己的密码,并且包括确认程序,以便考虑到输入出错的情况。
1 / 3
第十条密码录入时,在屏幕上应不显示明文。
第三章密码使用要求
第十一条密码应由不少于8位的大小写字母、数字以及特殊符号等字符组成。 第十二条密码应在90天内至少更换一次。
第十三条密码设置不得使用最近5次以内重复的口令;密码重复尝试5次以后应暂停该帐号登录。 第十四条各级密码保管落实到人,密码所有人须妥善保存,各级密码不得以任何形式明文存放于可公共访问的设备中。
第十五条采取有效措施,保证用户密码在传输和存储时的安全,例如对密码进行加密传输和保存。 第十六条及时更改系统或者应用的默认厂商口令。
第十七条当出现以下情况时,必须立即更改密码并做好相关记录: (一)掌握密码的网络管理人员离开岗位;
(二)因工作需要,由相关厂家或第三方公司人员使用过的帐号及密码; (三)其他密码可能被泄露的情况。
第十当发生以下情况时,系统管理员应立即取消帐号或修改账号的相应权限,并做好相关记录:
(一)帐号使用者已经离职;
(二)帐号使用者由于工作的变动不再需要访问权限;(三)由于工作需要开通的临时帐号已到期 (四)帐号使用者违背了有关密码管理规定;
2 / 3
(五)发生其他使上级主管人员认为不应再具有访问权限的;第十九条系统管理员修改帐号密码时,应提前(或同时)通知帐号使用人,以免影响其正常使用。
第二十条系统的超级管理员帐号的密码属于系统最高机密,应该严格限定使用范围。 第二十一条由于工作需要,给第三方人员开通的临时帐号同样需要遵守“最小权限原则”。
第四章附则
第二十二条本制度xx归()部。
3 / 3
