公司计算机系统用户口令(密码)安全管n理规定.docVIP

公司计算机系统用户口令（密码）安全管理规定 第一章 总 则 第一条 为加强计算机系统用户口令（密码）的安全管理，提高计算机系统用户口令（密码）安全管理规范化、制度化水平，完善信息安全管理体系，特制定本规定。 第二条 、的计算机系统用户口令（密码）的安全管理适用本规定。本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。 第三条 本规定所称计算机系统用户口令（密码）是指在登录计算机系统过程中，用于验证用户身份的字符串，以下简称计算机系统用户口令。计算机系统用户口令主要为静态口令、动态口令等。静态口令一般是指在一段时间内有效，需要用户记忆保管的口令。动态口令一般是指根据动态机制生成的、一次有效的口令。计算机系统用户口令主要包括：主机系统（数据库系统）、网络设备、安全设备等系统用户口令；前端计算机系统用户口令；应用系统用户口令；桌面计算机系统用户口令。 第四条 计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。 第五条 计算机系统用户口令持有人应保证口令的保密性，不应将口令记录在未妥善保管的笔记本以及其他纸质介质中（密码信封除外），严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上，同时严禁将计算机系统用户口令借给他人使用，任何情况下不应泄漏计算机系统用户口令，一旦发现或怀疑计算机系统用户口令泄漏，应立即更换。 第六条 计算机系统用户口令必须加密存储计算机系统中，严禁在网络上明文传输计算机系统用户口令，在用户输入口令时，严禁在屏幕上显示口令明文，严禁计算机信息系统输出口令明文（密码信封除外）。 第七条 计算机系统用户口令持有人应保证口令具有较高安全性。选择使用口令安全强度较高的口令，不应使用简单的代码和标记，禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。 第八条 任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令，盗用他人访问权限，威胁信息系统安全。 第九条 同一信息系统相同访问权限的用户应具有一致的口令安全要求。 第十条 具有登录计算机系统权限的用户必须设置用户口令或其它验证用户身份的方式，严禁不验证用户身份直接登录信息系统。 第二章 岗位及其职责 第十一条 应设立口令安全管理专职人员，统一管理重要主机系统、核心网络设备、安全设备等超级用户以及重要系统中具有关键访问权限用户的口令。 第十二条 计算机用户口令（专职人员管理的口令除外）持有人负责所持计算机用户口令在使用过程中的保密，负责设置、保存、更换计算机用户口令，负责口令自身的安全强度。 第十三条 系统管理（维护）人员、网络和安全设备管理（维护）人员负责启用计算机系统、网络和安全设备的口令安全管理相关功能；负责删除计算机系统、网络和安全设备多余用户和口令。 第十四条 应用系统开发项目经理应负责组织实现应用系统支持口令安全管理的相关功能和机制。 第三章 口令基本安全要求 第十五条 计算机用户口令基本要求由口令长度、口令字符复杂度、口令历史，口令最长有效期组成： （一） 口令最小长度：6位 （二） 口令字符组成复杂度：口令由数字、大小写字母及特殊字符组成，且至少包含其中两种字符（动态口令除外）； （三） 口令历史：修改后的口令至少与前10次口令不同； （四） 口令最长有效期限：30/60/90 天，可根据系统重要性和用户权限采取不同的有效期。 第十六条 信息系统原则上应具有支持计算机系统用户口令基本要求的相关功能、机制。 第四章 主机系统、网络和安全设备用户口令安全要求 第十七条 系统用户口令主要包括主机系统、网络设备、安全设备等系统用户口令。主机系统用户是指能够登录主机系统的用户。 第十八条 主机系统、网络设备、安全设备等应启动口令管理相关功能、机制，满足第三章口令基本安全要求，对于原有系统不支持或不具备相关技术功能、机制的，必须逐步建立、完善相应的安全管理制度措施，弥补技术机制上的不足。 第十九条 主机系统、网络设备、安全设备等的超级用户口令以及重要系统中具有关键访问权限用户的口令应由专人设置与管理，超级用户口令应由口令设置人员将口令装入密码信封，在骑缝处盖章或签字后存档并登记。 第二十条 存放超级用户口令的密码信封应放置在保险箱或带密码锁的箱、柜中，并由专人负责。 第二十一条 主机系统超级用户口令，网络设备、安全设备超级用户口令以及具有修改配置权限用户的口令应设置口令登记薄，记录口令使用相关信息，至少包括：设备名称、用户名称、口令启用时间、口令更换时间、口令使用者等内容。 第二十二条 如遇特殊情况需启用封存的口令，必须经过