口令管理规定.docVIP

信息科技部 口令管理规定 A版 2011年6月1日 发布 2011年6月1日 实施 目录 1 目的 3 2 范围 3 3 相关文件 3 4 职责 3 5 程序 3 5.1 口令策略 3 5.2 口令管理 4 5.3 紧急口令使用 4 6 记录 4 文件修订历史记录 版本 日期 修订者 修订描述 1.0 1 目的 为规范阜新银行信息科技部帐号及密码口令的管理，使阜新银行信息科技部帐号及密码口令实现集中管理特制订此文件。 2 范围 本程序适用于阜新银行信息科技部所有主机、系统、数据库等口令的管理以及个人计算机相关口令的管理。 3 相关文件 4 职责 4.1 总经理负责指定相关人员进行口令管理。 4.2 总经理指定的管理人员负责对口令的使用、保管、定期更改及临时口令的管理。 4.3 总经理负责对备份口令使用的审批。 5 程序 5.1 口令策略 所有计算机及系统用户在使用口令时应遵循以下原则： 5.1.1 保守口令的机密性，避免保留口令的字面记录，明文存储或明文网络传递。 5.1.2 任何时候有迹象表明系统或口令可能受到损害，就要更换口令。 5.1.3 口令最小长度8位，不要采用姓名、电话号码、生日等别人容易猜测或得到的口令，不要用连续的数字或字母群。 5.1.4 一般用户口令至少每季度变更一次，特权用户口令每60天变更一次；对于用户口令的变更会影响应用程序运行的情况，该用户的口令可以在适当的时机予以变更。 5.1.5 在第一次登录时，需要更换临时口令。 5.1.6 操作系统口令和应用系统口令不应由一人掌握。 5.1.7 口令应妥善保存，不要共享个人用户口令。 5.2 口令管理 5.2.1 口令管理的授权管理人员由阜新银行信息科技部总经理负责指定。 5.2.2 应根据各系统负责人员形成系统口令授权情况清单，确保满足操作系统及应用系统口令至少有两人分别掌握。 5.2.3 阜新银行信息科技部员工及外部第三方进行正常业务操作，口令管理员负责帐号口令的输入及操作，并全程陪同。 5.2.4 所有口令应由口令管理员保存在安全的地方，电子版本应加密。 5.2.5 所有分配口令管理的人员每半年应进行一次权限回顾，确保授权的持续有效性，防止非授权的访问。 5.2.6 个人终端的口令管理仅执行本规定的口令策略要求。 5.3 紧急口令使用 5.3.1 口令管理员应将口令打印保存在具有防拆包装的信封中，并保存于异地安全场所。 5.3.2 突发事件需使用备份口令时，应由信息科技部总经理授权，指定人员开启口令。 5.3.3 开启后所有口令应立即变更，并从新执行5.3.1要求。 5.3.4 根据口令变更周期要求，变更后，应立即执行5.3.1要求。 5.3.5 对废弃口令应由口令管理员2人监督销毁过程，应采用适当的碎纸装置进行销毁。 6 记录 《口令授权情况清单》 《口令销毁记录表》 业务应用口令授权情况清单 系统名称 操作系统 口令管理人 应用系统 口令管理人 数据库 口令管理人 网络设备口令授权情况清单 网络设备名称 位置/SN 口令管理人 口令销毁记录表 销毁内容 销毁时间 销毁原因 废弃人 监督人 核心系统操作系统访问口令密码信封 2011年6月1日 定期更改口令后销毁原口令 ★★ 本行为填写样例 信息安全管理体系文件 ISMSP-32-A 信息安全管理体系文件 ISMSP-32-R01 信息安全管理体系文件 ISMSP-32-R03 信息安全管理体系文件 ISMSP-32-R02