OI-IT-13 软件系统密码管理制度.docVIP

CCC信息技术有限公司深圳分公司 软件系统密码管理制度 编号： OI-IT-13 页码/页数： PAGE 5/5 工作文件 版本 A 修订次数 00 修订人 修订日期 2018-9-1 第 PAGE5 页，总 NUMPAGES5 页 软件系统密码管理制度 2018年9月1日起发布实施 PAGE 文档修订历史 修订版本 修订日期 作者 审核人 批准人 说明 目的 为维护公司信息安全，确保密码在产生、使用过程中的安全性、有效性，特制定本制度。 适用范围 适用于公司应用系统用户密码、服务器操作系统用户密码、数据库管理系统用户密码的管理。 职责与权限 运维管理员：制定、定期审阅公司密码管理策略，核查用户对密码策略的执行情况。按照公司密码管理策略的要求，对服务器操作系统、数据库管理系统用户的密码策略进行管理，定期审阅公司密码管理策略，通过定期抽查用户的密码，核查用户对密码策略的执行情况。按照公司密码管理策略的要求，对应用系统的管理员用户的密码策略进行管理 数据库管理工程师：按照公司密码管理策略的要求，对用户的密码策略进行管理。 内容及流程 密码的长度 应用系统的一般用户密码不应低于8位。 服务器操作系统密码、数据库系统密码、应用系统管理员用户账号密码不应低于8位。 密码的复杂性 一．密码至少应包括以下4种字符中2种： a) 大写英文字符 b) 小写英文字符 c) 阿拉伯数字 d) 特殊符号（如!$%^等） 密码时效要求 应用系统的一般用户密码应90天更改一次。 运维管理员用户密码、服务器操作系统用户密码、数据库管理系统用户密码应30天更改一次。 不可使用至少前三次已经使用的旧密码。 账号的锁定 以下情况发生后，账号将被锁定： 用户连续五次输入错误的密码； 超过密码最长有效期限仍未更改密码。 账号锁定后，默认锁定时间为30分钟，如需在30分钟内进行解锁，需向部门经理提交账户解锁申请，部门负责人审核后，交由系统管理工程师、信息技术工程师解除账号锁定。 只有运维管理员可解除账号的锁定。当用户账号被锁定时，用户需与运维管理员一起查明锁定原因。 密码的初始化 管理员用户密码由运维工程师进行初始化。 应用系统、数据库管理系统的一般用户密码、管理员用户密码，由运维工程师进行初始化。 服务器主机操作系统的用户密码，由运维工程师经行初始化。 数据库管理系统的用户密码，由数据库管理工程师进行初始化。 密码的更改 用户在第一次登录系统及密码达到5.3规定的密码时效期时，必须更改密码。 更改的新密码，必须满足5.1，5.2规定的长度及复杂性要求。 各系统用户负责对自己的密码进行更改。公用账号由指定的账号密码修改人进行修改。 密码遗失处理 处理流程同第八条二。 进程闲置超时设定 进程闲置超时设定应为15分钟。 如果系统不支持进程闲置超时功能，用户计算机应设定15分钟启用的带密码的屏幕保护。